E-administracja w perspektywie kontroli
(RAPORT)
Listopad 2004
E-administracja w perspektywie kontroli
(RAPORT)
Listopad 2004
2
3
1. WSTĘP ..............................................................................................................................7
2. TRENDY W E-ADMINISTRACJI.....................................................................................9
2.1. Wstęp ..........................................................................................................................9
2.2 E-administracja: co to jest? ...........................................................................................9
2.3 Przykłady zastosowań e-administracji .........................................................................11
2.4. Potencjalne korzyści ..................................................................................................13
2.5 Czym szczególnym wyróŜnia się e-administracja? ......................................................14
2.6. Aspekty rozwojowe ...................................................................................................18
2.7. Uwagi końcowe .........................................................................................................20
ZAŁĄCZNIK 1 ............................................................................................................21
3. RYZYKO .........................................................................................................................21
3.1 Wstęp .........................................................................................................................21
3.2. Ryzyka związane z planowaniem, opracowywaniem oraz wprowadzaniem usług e-
administracji .....................................................................................................................22
3.3. Ryzyka dotyczące prowadzenia usług e-administracji ................................................26
3.4. Kontrola ryzyka związanego z projektami usług e-administracji ................................30
3.5 Uwagi końcowe ..........................................................................................................33
4. KONTROLA PROGRAMÓW I PROJEKTÓW ...............................................................33
4.1 Wstęp .........................................................................................................................33
4.2. Ramy konceptualne....................................................................................................33
4.3 Metody kontroli ..........................................................................................................36
4.4 Mapa ram CobiT.........................................................................................................43
4.5. Uwagi końcowe .........................................................................................................44
ZAŁĄCZNIK 2 ............................................................................................................45
5.1. Wstęp ........................................................................................................................47
5.2 Środowiska cyfrowe....................................................................................................47
5.3 Kontrola środowisk cyfrowych („skomputeryzowanych”)...........................................49
5.4. Uwagi końcowe .........................................................................................................55
6. KONSEKWENCJE ORGANIZACYJNE .........................................................................55
6.1 Wstęp .........................................................................................................................55
6.2. Przejście do procedur cyfrowych................................................................................56
6.3. Metody ......................................................................................................................56
6.4 Kwalifikacje ...............................................................................................................57
6.5 Zasoby........................................................................................................................58
6.6 Uwagi końcowe ..........................................................................................................58
GLOSARIUSZ .............................................................................................................59
4
5
Przedmowa
Podczas swojego pierwszego spotkania we wrześniu - październiku 2002 Grupa Robocza
EUROSAI ds. Informatyki (EUROSAI IT Working Group) postanowiła utworzyć podgrupę
w celu opracowania ogólnego zarysu e-administracji, e-zamówień publicznych oraz raportu
dotyczącego trendów, definicji, ryzyk, metod kontroli, doświadczeń itd. Utworzona podgrupa
składa się z Portugalii (kierownictwo), Danii, Niemiec, Polski, Rosji oraz Holandii.
Podczas spotkania początkowego w lutym 2003 podgrupa podjęła decyzję w sprawie układu
raportu. W następnej kolejności, członkowie opracowali róŜne rozdziały i oto leŜy przed
Państwem rezultat tej pracy. Pomimo, Ŝe wszyscy naleŜymy do krajów europejskich, wszyscy
posiadamy swoje własne „barwy narodowe”, poniewaŜ nasze doświadczenia róŜnią się w
zaleŜności od sytuacji, jaka występuje w naszych krajach. W pewnym stopniu znajdzie to
odzwierciedlenie w róŜnych rozdziałach niniejszego dokumentu. JednakŜe, mimo, Ŝe pewne
przykłady oparte są o doświadczenia właściwe dla danego kraju, zostały one przedstawione w
taki sposób, Ŝe znajdą zainteresowanie w szerokim kręgu odbiorców.
Raport połączony jest z dokumentem „E-zamówienia publiczne i ich wpływ na przyszłe
podejście kontrolne”, która oparta jest o doświadczenia Danii.
Wersja dyskusyjna tego raportu została wysłana 25 listopada 2003 do wszystkich
(ówczesnych) 24 członków grupy roboczej w celu uzyskania ich opinii. Termin zgłaszania
uwag upłynął w dniu 15 grudnia 2003. Następnie, raport został poprawiony zgodnie z
otrzymanymi uwagami, mimo, Ŝe niektóre zgłoszone kwestie odłoŜono w celu ich omówienia
podczas drugiego spotkania Grupy Roboczej, w marcu 2004, w Bernie, w Szwajcarii. Podczas
tego spotkania miały miejsce dyskusje na temat końcowych modyfikacji tekstu, których
rezultatem jest niniejsza wersja ostateczna.
6
7
1. WSTĘP
Pod hasłem „e-administracja” większość Państw Europejskich zobowiązało się, poprzez róŜne
krajowe oraz międzynarodowe programy działań oraz inicjatywy, udostępnić moŜliwie
najwięcej swoich usług publicznych online przez internet w ciągu dającej się przewidzieć
przyszłości (w większości przypadków do roku 2005).
Programy te mają być głównymi krokami na drodze do osiągnięcia celu polityki rządów,
którym jest przekształcenie Europy w społeczeństwo informacyjne. Rządy pragną zapewnić,
aby obywatele, firmy, środowisko akademickie oraz inne podmioty rządowe miały prostszy,
szybszy oraz bardziej opłacalny dostęp do usług publicznych. Celem tych starań jest
zwiększenie zadowolenia obywateli z administracji oraz większa konkurencyjność krajów
oraz przedsiębiorstw.
Ponadto, programy e-administracji mają stać się istotnym elementem wszechstronnej
modernizacji administracji. Spójne programy e-administracji mają stanowić bodziec dla re-
engineeringu procesów biznesowych w ramach całej administracji publicznej w celu
uproszczenia szerokiej gamy struktur oraz procedur administracyjnych.
W tej sytuacji brak realizacji lub opóźnienie w realizacji programów lub projektów e-
administracji prowadzić będzie do niepowodzenia lub opóźnienia modernizacji. Co więcej,
potrzeba konsolidacji budŜetów wymaga wykorzystania wszelkich moŜliwości cięcia kosztów
bez zakłóceń w dostawie usług publicznych. Programy e-administracji mogą dostarczyć nowe
moŜliwości odnośnie realizacji tego celu.
Jedną z konsekwencji e-administracji jest odchodzenie rządów od systemów opartych na
dokumentacji papierowej w kierunku systemów skomputeryzowanych, co pociąga za sobą
całkowitą zmianę środowiska kontrolnego. Fakt ten stwarza nowe wyzwania zarówno dla
audytowanych jak i audytorów. Brak dokumentacji papierowej zwiększa potrzebę
zapewnienia ścisłych mechanizmów kontrolnych w systemach skomputeryzowanych – w
tym: ogólnych mechanizmów kontrolnych, mechanizmów zaprogramowanych w systemach
uŜytkownika oraz konkretnych mechanizmów ręcznych dostępnych w otoczeniu systemów
uŜytkownika. Tendencja ta ma znaczące konsekwencje dla rozwoju oraz wdraŜania projektów
e-administracji, jak równieŜ dla zarządzania systemami operacyjnymi IT.
Co się tyczy konsekwencji dla audytorów, jednym z najwaŜniejszych wyzwań jest ocena
waŜności oraz wiarygodności danych. Aby móc dokonać kontroli systemu e-administracji,
musimy dostosować istniejące metody i techniki oraz opracować nowe.
Ponadto, z uwagi na fakt, Ŝe systemy IT
1
oraz procesy biznesowe stają się w coraz większym
stopniu ze sobą powiązane, decyzje dotyczące IT są w gruncie rzeczy decyzjami
biznesowymi, a nie tylko decyzjami technicznymi, co wymaga zaangaŜowania wyŜszej kadry
kierowniczej. Jedynie jej czynny udział moŜe zapewnić, Ŝe organizacja jako całość posiadać
będzie wystarczającą kontrolę nad ryzykiem związanym z IT- tj. ryzykiem dotyczącym
projektów, jak równieŜ codziennych operacji. WdraŜanie e-administracji jest procesem
złoŜonym i wymaga nie tylko wizji, lecz takŜe silnego przywództwa politycznego na
najwyŜszym poziomie.
1
Ang. Information Technology, czyli systemy informatyczne
8
To wszystko wymaga od NajwyŜszych Organów Audytu (NOA) poświęcenia szczególnej
uwagi danemu programowi e-administracji. Celem niniejszego raportu jest podanie NOA
pomocnej dłoni w tej dziedzinie. Po krótkim wstępie omówione zostało pięć tematów:
pierwszy, "Trendy w e-administracji”, po zbadaniu niektórych z istniejących definicji w celu
wyjaśnienia czego dotyczy e-administracja, wskazuje kilka potencjalnych korzyści
wynikających z e-administracji i obejmuje niektóre z aspektów rozwojowych. Drugi,
"Ryzyko" opisuje niektóre z ryzyk dotyczących przedwdroŜeniowych faz planowania i
rozwoju usług e-administracji, ryzyk powstających podczas ich wprowadzania oraz ryzyk
występujących w fazie dostarczania usług e-administracji. Trzeci oraz czwarty, „Audyt
programów i projektów” oraz „Audyt w środowisku cyfrowym (skomputeryzowanym)”
przedstawia podejścia do audytu odpowiednio ze strategicznego oraz operacyjnego punktu
widzenia; podczas gdy pierwszy skupia się na zapotrzebowaniu na nowe metody audytu w
celu określenia postępu administracji we wdraŜaniu programów oraz projektów e-
administracji, drugi przedstawia ocenę przeprowadzania audytu w środowiskach cyfrowych
oraz ocenę wymogów dotyczących przeprowadzania audytu w odniesieniu do celu, treści oraz
zakresu. W końcu piąty, "Konsekwencje organizacyjne", przedstawia wymogi dla
poszczególnych NOA, odnoszące się do potrzeby inicjatyw strategicznych, jakie mają zostać
podjęte w dziedzinie IT jako wynik przejścia do procedur cyfrowych i rozwoju procedur,
czego celem jest wypełnienie misji NOA w sposób bardziej wydajny i skuteczny.
Mimo, Ŝe rozdziały niniejszego raportu zastały ułoŜone przez nas w sposób, który wydaje
nam się najbardziej logiczny, czytelnicy mogą wybrać swoją własną ścieŜkę, w zaleŜności od
ich obecnego stanu wiedzy oraz konkretnych zainteresowań. Struktura raportu umoŜliwia to,
poniewaŜ kaŜdy rozdział moŜe być czytany jako samodzielna jednostka, obejmująca
konkretny podtemat w ramach ogólnego tematu, jakim jest e-administracja w perspektywie
kontroli.
9
2. TRENDY W E-ADMINISTRACJI
2.1. Wst
ę
p
W rozdziale tym wyjaśniamy czym jest e-administracja. Najpierw, w sekcji 2.2, proponujemy
definicję e-administracji po zbadaniu niektórych z istniejących definicji. Następnie, w sekcji
2.3 prezentujemy kilka przykładów e-administracji, aby umoŜliwić czytelnikowi zrozumienie
zakresu koncepcji. W sekcji 2.4 poruszamy kwestię potencjalnych korzyści z e-administracji.
W sekcji 2.5 opisujemy typowe cechy e-administracji. W sekcji 2.6 opisujemy niektóre z
aspektów rozwojowych. Kończymy ten rozdział kilkoma uwagami końcowymi w sekcji 2.7.
2.2 E-administracja: co to jest?
Poszukując przydatnej definicji roboczej koncepcji e-administracji zacznijmy od definicji
przybliŜonej. Grupa projektowa e-administracji Komitetu INTOSAI IT stosuje następującą
definicję roboczą:
o
E-administracja stanowi wymianę informacji dotyczącej administracji online z
obywatelami, przedsiębiorstwami i agencjami rządowymi oraz dostarczanie im usług.
Z uwagi na fakt, Ŝe dostarczanie informacji oraz usług stanowi z pewnością bardzo waŜny
element e-administracji, co wynika z koncepcji, uwaŜamy, Ŝe definicja ta, przystosowana do
potrzeb grupy projektowej INTOSAI, jest zbyt wąska, aby mogła dobrze słuŜyć naszym
celom. Dzieje się tak, poniewaŜ jest ona ograniczona do tych działań, które mają charakter
online i które są bezpośrednio skierowane do podmiotów zewnętrznych. Na przykład
zarządzanie łańcuchem dostaw, ukierunkowane tak jak w e-business na zwiększenie
wydajności oraz/lub skuteczności, jest przez nas uznawane za istotny element e-administracji.
Aby zrozumieć o co w tym chodzi, czytelnik moŜe odnieść się do przykładu zapewniania
opieki osobistej w sekcji 2.3.5. Zarządzanie łańcuchem dostaw nie jest jednakŜe objęte
definicją INTOSAI.
MoŜna zaobserwować wiele innych definicji, które pod względem zakresu obejmują definicje
raczej ograniczone jak i bardzo obszerne. W celu zilustrowania zakresu definicji,
prezentujemy tu trzy z nich, oparte o konferencję, która odbyła się w Holandii w roku 2001.
o
Elektroniczna administracja dotyczy dostarczania lub pozyskiwania informacji, usług
lub produktów drogą elektroniczną, do lub od jednostek administracji, w dowolnym
momencie oraz miejscu, w powiązaniu z wartością dodaną dla wszystkich
uczestniczących stron.
o
E-administracja składa się z następujących zespołów: e-zarządzania, demokracji on-
line oraz elektronicznego dostarczania usług.
o
Cztery perspektywy e-administracji są następujące:
(a) perspektywa odbiorcy (interfejs z administracją publiczną);
(b) perspektywa procesu (reorganizacja procesów administracji);
(c) perspektywa współpracy (wysiłki związane ze współpracą);
(d) perspektywa wiedzy (zarządzanie informacją oraz wiedzą w ramach administracji
publicznej)
10
Nie uwaŜamy za rozsądne ograniczać się zawczasu poprzez przyjęcie zbyt wąskiej
definicji. Oto inne definicje obejmujące temat.
Uniwersytet Nauk Stosowanych (Berner Fachhochschule) w Bernie (Szwajcaria)
przedstawia następującą definicję:
o
E-administracja obejmuje wsparcie dla relacji, procesów oraz udziału
politycznego zarówno w ramach jednostek administracji wszystkich poziomów
(federalnego oraz/lub państwowego, regionalnego, poziomów lokalnych, itd.)
oraz pomiędzy jednostkami administracji i wszystkimi ich interesariuszami,
łącznie z obywatelami, przedsiębiorstwami i innymi organizacjami. Obejmuje
ona zapewnianie niezbędnych środków współdziałania poprzez kanały
elektroniczne.
Jeszcze inną definicję stanowi definicja podana przez Unię Europejską
2
:
o
E-administracja
oznacza
wykorzystanie
informacji
oraz
technik
komunikacyjnych w urzędach publicznych, w połączeniu ze zmianą
organizacyjną oraz nowymi umiejętnościami w celu usprawnienia usług
publicznych, procesów demokratycznych oraz wzmocnienia wsparcia polityk
publicznych.
Ustawa o elektronicznej administracji USA z roku 2002 przedstawia obszerną, choć ścisłą
definicję:
o
Elektroniczna administracja oznacza uŜycie przez Administrację aplikacji
internetowych opartych o sieć oraz innych technologii informacyjnych,
połączonych z procesami, które wdraŜają te technologie, aby:
(A) usprawnić dostęp do informacji Administracji oraz usług, jak równieŜ ich
dostarczanie ogółowi, innym agencjom lub innym jednostkom Administracji;
lub
(B) wprowadzić ulepszenia do działalności Administracji, które mogą obejmować
skuteczność, wydajność, jakość usługi lub transformację
W oparciu o podane definicje, dokonujemy definicji tego pojęcia w następujący sposób:
Poprzez termin e-administracja rozumiemy stosowanie informacji oraz technik
komunikacyjnych przez administrację, czego celem jest:
(a) usprawnienie wymiany informacji z obywatelami oraz przedsiębiorstwami oraz/lub
dostarczanie usług obywatelom oraz przedsiębiorstwom;
(b) usprawnienie działalności administracji w zakresie większej skuteczności, oraz/lub
wydajności
3
;
(c) zwiększenie udziału politycznego.
2
COM(2003) 567 final, 26.9.2003, „The role of eGovernment for Europe’s future”.
3
Obejmuje to wymianę informacji oraz/lub dostarczanie usług pomiędzy agencjami rządowymi
11
Zgodnie z tą definicją, oprócz elektronicznego dostarczania usług istnieją inne aspekty
koncepcji e-administracji. JednakŜe, rozdział ten będzie się skupiał głównie na tym aspekcie,
poniewaŜ dla obywateli oraz przedsiębiorstw stanowi on aspekt najbardziej widoczny.
Mówiąc o elektronicznym dostarczaniu usług moŜna poczynić rozróŜnienie pomiędzy trzema
kategoriami, w zaleŜności od grupy docelowej, o której mowa: obywatelami,
przedsiębiorstwami lub administracją. Niektórzy autorzy jako czwartą kategorię opisują
usługi typu administracja - pracownik. Obejmuje ona oprócz innych usług zarządzanie wiedzą
oraz zarządzanie karierą.
JednakŜe, w naszym dokumencie nie będziemy badać tej granicznej kategorii. Aby
przedstawić ogólny zarys, podajemy niniejszym krótki opis trzech głównych kategorii
4
:
•
Co się tyczy relacji urząd-obywatel, zostały rozmieszczone łatwe do znalezienia
miejsca, w których obywatel moŜe załatwić wszystkie swoje sprawy związane z daną
sytuacją Ŝyciową (one-stop shops), łącznie z pojedynczymi punktami łatwego wejścia
w celu uzyskania dostępu do wysokiej jakości usług administracji;
Przykłady obejmują dostarczanie informacji, elektroniczne rozliczanie podatków oraz
wygodne przekraczanie bramek przy wjeździe na autostradę
5
;
•
E-administracja typu urząd-przedsiębiorstwo zmniejsza obciąŜenie przedsiębiorstw
poprzez zastosowanie protokołów internetowych oraz konsolidację wielu zbędnych
wymogów dotyczących raportowania;
Oprócz usług porównywalnych z usługami typu urząd-obywatel, do przykładów zalicza się
elektroniczne systemy licytacji.
•
Usługi typu urząd-urząd wspierają wymianę informacji pomiędzy organizacjami w
ramach administracji publicznej i sprawia, Ŝe zarządzanie informacjami jest
wydajniejsze i mniej obciąŜające dla obywateli oraz przedsiębiorstw.
Przykładem jest wyznaczenie tzw. brokera informacji, który umoŜliwia jednostkom
administracji zbieranie danych od obywateli lub przedsiębiorstw tylko jeden raz. Rezultatem
jest korzyść polegająca na tym, Ŝe jeŜeli inny upowaŜniony urząd potrzebuje juŜ zebranego
elementu danych, nie musi niepokoić danej osoby lub przedsiębiorstwa zbędną prośbą.
W rzeczywistości, zgodnie z tym, co zostało określone w definicji e-administracji, waŜnym
celem jest stosowanie IT na rzecz obywateli oraz przedsiębiorstw, jak równieŜ na rzecz samej
administracji.
2.3 Przykłady zastosowa
ń
e-administracji
4
Pierwsze dwie definicje (nie przykłady) oparte są o memorandum dyrektora Urzędu Zarządzania i BudŜetu
USA (OMB): M-01-28, Memorandum for the Heads of Executive Departments and Agencies (Mitchell E.
Daniels, Jr.).
5
Jednym ze sposobów na wdraŜanie ostatniej z wymienionych usług jest zainstalowanie małego urządzenia
(„lokalizatora”), który identyfikuje uŜytkownika pojazdu. Czytnik lokalizatora przy wjeździe na autostradę
przekazuje informację z lokalizatora do systemu informacyjnego, i w rezultacie odpowiednia suma jest
potrącana z konta pre-paid klienta.
12
Sekcja ta zawiera kilka wyjaśniających przykładów dotyczących zastosowań e-administracji.
Jej celem jest raczej ukazanie bogactwa dziedziny e-administracji aniŜeli przestawienie
obszernego wykazu zastosowań e-administracji. Dalsze przykłady patrz Załącznik 1 na końcu
tego rozdziału, który zawiera listę usług e-administracji, uznawanych przez Unię Europejską
za usługi podstawowe.
2.3.1 Informacje administracyjne
Niektóre urzędy zamieszczają na swoich witrynach www informacje dla obywateli oraz
przedsiębiorstw, na przykład zdalny dostęp do archiwów i baz danych, serwis wiadomości,
informacje prawne, białe księgi oraz dokumentacje dotyczące polityk.
2.3.2 Urzędy elektroniczne
Urzędy elektroniczne oferują obywatelom oraz przedsiębiorstwom moŜliwości związane z
dostarczaniem lub aktualizowaniem danych osobowych, składaniem wniosków o zezwolenia
lub dotacje, lub teŜ złoŜeniem podania o przyjęcie na wolne stanowisko pracy.
2.3.3 One-stop shops (miejsca, w których moŜna za jednym razem załatwić wszelkie
formalności związane z daną sytuacją Ŝyciową)
Następny krok po elektronicznych urzędach to tzw. one-stop shops, które oferują usługi
łączone, dostarczane przez wiele współpracujących ze sobą organizacji. Przedsiębiorcy na
przykład, mogą uzyskać dostęp do planów zagospodarowania przestrzennego, składać
wnioski o pozwolenia na budowę, zapisywać się do Izby Handlowej oraz płacić podatki, itd.,
wszystko poprzez jeden punkt usługowy.
2.3.4 E-zamówienia publiczne
Utworzono kilka portali urzędowych dotyczących zamówień. Celem ich było ustanowienie
punktu zbiorczego dla osób zajmujących się zamówieniami publicznymi oraz ich dostawców.
Takie portale pozwalają obydwu stronom zdobyć rozeznanie w kwestii ofert, umów,
zamówień, statystyk sprzedaŜy itd. UmoŜliwiają one równieŜ wszystkim zainteresowanym
stronom połączyć odpowiednie dane dotyczące zaopatrzenia, sprzedaŜy oraz płatności z ich
systemami finansowymi. Jedną z korzyści wynikających z tego jest oszczędność kosztów,
poniewaŜ Ŝmudne ręczne wprowadzanie danych, mechanizmy oraz procedury mające na celu
poprawienie błędów mogą zostać w znacznym stopniu zminimalizowane. RównieŜ proces e-
zamówień publicznych moŜe zostać znacznie usprawniony.
2.3.5 Obsługa spersonalizowana
Prowadzone są róŜne projekty, których celem jest zbadanie moŜliwości, jakie daje
technologia inteligentnej karty w zapewnieniu spersonalizowanej obsługi klientów, na
przykład opieki medycznej. Problemem jest to, Ŝe wszystkie dane, jakie mogą mieć znaczenie
dla leczenia konkretnego pacjenta, są rozproszone w całej sieci składającej się z wielu
organizacji. Sieć ta obejmuje lekarzy ogólnych, szpitale, specjalistów medycznych oraz
apteki. Wszystkie zainteresowane strony posiadają nieco informacji na temat pacjenta, takie
jak historia choroby, grupa krwi, informacje dotyczące alergii, objawy występujące po
zaŜyciu lekarstw, diagnozy, badania, recepty, kontakty w razie nagłej potrzeby, warunki
13
polisy ubezpieczeniowej, itd. Są opracowywane systemy mające na celu udostępnienie
wszystkich tych informacji upowaŜnionemu personelowi medycznemu i paramedycznemu, za
pośrednictwem inteligentnej karty, która znajduje się w posiadaniu pacjenta. Wszystkie
niezbędne informacje będą wówczas dostępne, niezaleŜnie od miejsca lub czasu zgłoszenia
się pacjenta o pomoc medyczną, nawet w przypadku, kiedy pacjent został znaleziony
nieprzytomny po wypadku (pod warunkiem, Ŝe posiadał przy sobie inteligentną kartę).
2.3.6 Infrastruktura
Celem umoŜliwienia szybszej i bezpieczniejszej obsługi ruchu drogowego zostały
ustanowione aplikacje telematyczne
6
. Dotyczy to sygnałów matrycowych na autostradach
ukazujących ograniczenia prędkości oraz ostrzeŜeń o zatorach w ruchu. Dwa inne przykłady
obejmują systemy monitorowania ruchu oraz systemy opłat zatorowych
7
.
2.3.7 Elektroniczne rozliczenia podatkowe
W niektórych krajach urzędy skarbowe oferują moŜliwość wysyłania deklaracji podatkowych
za pośrednictwem dyskietki, poprzez połączenie modemowe lub Internet.
2.3.8 Wymiana informacji w ramach zarządzania publicznego
Tradycyjnie, zarządzanie publiczne jest zorganizowane w taki sposób, Ŝe kaŜdy urząd
obsługuje swoich klientów oddzielnie. Podział ten nie uwzględnia faktu, Ŝe bazy ich klientów
w pewnym stopniu się pokrywają. O ile nam wiadomo, Belgia była pierwszym krajem, który
uświadomił sobie potrzebę usprawnienia zarządzania informacjami dotyczącymi danych,
które obywatele i przedsiębiorstwa mają obowiązek dostarczyć do urzędu. Kilka lat temu
załoŜono „Bank Crossroads zabezpieczenia społecznego”, a całkiem niedawno „Banki
Crossroads dla przedsiębiorców”. Banki Crossroads pełnią rolę brokerów informacji.
Pozwalają one na wdroŜenie zasady zbierania kaŜdego elementu danych tylko jeden raz oraz
oddawania go do dyspozycji kaŜdej organizacji, która ma prawo go uŜywać.
2.3.9 Udział w kształtowaniu polityk
Witryny www są stosowane w celu uzyskania od obywateli odpowiedzi odnośnie kwestii
określonych polityk. Niekiedy nawet bardzo rozbudowane dyskusje elektroniczne, które
mogą ciągnąć się przez kilka miesięcy, słuŜą jako przygotowanie do podejmowania decyzji
politycznych.
2.4. Potencjalne korzy
ś
ci
Do potencjalnych korzyści e-administracji dla obywateli i przedsiębiorstw naleŜą:
•
wygoda (dostępność urzędu w dowolnym czasie i miejscu; wszystko w jednym
miejscu; szybkie reakcje);
•
lepsza jakość obsługi klienta;
6
Telematyka jest to zbiór technologii, które łączą w sobie telekomunikację oraz informatykę.
7
Nakładanie na kierowców opłaty za jazdę podczas godzin szczytu w określonych obszarach, w których często
występują zatory.
14
•
dostęp do większej ilości wyŜszej jakościowo informacji;
•
w szczególności dla firm: niŜsze koszty prowadzenia działalności.
Potencjalne korzyści dla urzędów obejmują:
•
większą ogólną skuteczność, z powodu:
o
ciągłej obecności urzędu online, co zapewnia dostarczanie większej ilości
informacji o lepszej strukturze, łatwej do znalezienia i nie wymagającej
zrozumienia sposobu, w jaki pracuje urząd;
o
ś
wiadczenia usług łączonych;
o
lepszej informacji o obywatelach i przedsiębiorcach.
•
większą wydajność z powodu:
o
mniejszego kosztu obsługi;
o
usprawnionych procesów biznesowych;
o
zautomatyzowania zadań, w których występuje duŜe zuŜycie papieru i duŜe
prawdopodobieństwo błędów;
o
umoŜliwienia inteligentniejszego oraz szybszego postępowania z wyjątkami;
o
umoŜliwienia wglądu w czasie rzeczywistym w niewydajne etapy świadczenia
usług.
2.5 Czym szczególnym wyró
Ŝ
nia si
ę
e-administracja?
Sekcja ta dotyczy kwestii, jakie cechy powodują, Ŝe e-administracja wyróŜnia się jako coś
szczególnego spośród innych rozwiązań związanych z informatyką. Cechy te mogą mieć
wpływ na metody (kombinacje metod), jakie mają zostać uŜyte (patrz rysunek 6 w sekcji
4.3.1).
2.5.1 Orientacja na klienta
Potrzeby klienta stanowią w nich punkt początkowy we wszelkich inicjatywach e-
administracji. Powoduje to uznanie potrzeby odejścia od konwencjonalnego wyobraŜenia
urzędu, dotyczącego moŜliwych potrzeb klientów (lub tego co administracja moŜe w łatwy
sposób zapewnić). Zmiana ta ma daleko idące konsekwencje, poniewaŜ w większości
przypadków, potrzeby klientów nie odpowiadają tradycyjnemu podziałowi administracji
publicznej. Na przykład, jeŜeli chodzi o kwestie mieszkalnictwa, obywatele muszą mieć
zazwyczaj do czynienia z róŜnymi ministerstwami, takimi jak Ministerstwo Spraw
Wewnętrznych oraz Ministerstwo Mieszkalnictwa oraz z administracją gminną.
JeŜeli administracja pragnie dostarczać usługi łączone w jednym miejscu, podział między
urzędami oraz pomiędzy poziomami w ramach administracji publicznej musi zostać
zniesiony. Wszystkie zainteresowane organizacje powinny dąŜyć do (dalszej) współpracy
oraz dokonać przekształcenia swoich wzajemnych relacji. Muszą zrobić to na poziomie
strategicznym jak równieŜ na poziomie codziennych operacji. Wynikiem tego jest
prawdziawa rewolucja w administracji państwowej, poniewaŜ urzędy muszą przemyśleć
swoje strategie oraz opracować i wdroŜyć nowe modele biznesowe.
2.5.2 Środowisko skomputeryzowane
JeŜeli student ubiega się o poŜyczkę studencką lub, jeŜeli przedsiębiorca składa wniosek o
pozwolenie na załoŜenie firmy, i jeŜeli robią oni to poprzez witrynę www, nie są potrzebne
15
formularze papierowe. W rezultacie, nie ma miejsca na korzystanie z dziennika podawczego.
Z tego względu organizacja musi opracować inne środki umoŜliwiające śledzenie
napływającego strumienia wniosków.
W początkowych stadiach e-administracji moŜna pominąć to poprzez systematyczne
drukowanie wszystkich napływających wniosków oraz obsługiwanie ich poprzez tradycyjne
procedury obiegu korespondencji, lecz w przypadku pełnej e-administracji (patrz sekcja 2.6)
ta raczej kłopotliwa metoda nie będzie mogła być kontynuowana.
W podanych przykładach, „jedynie" pewność prawna jest zagroŜona: jeŜeli ludzie wnioskują
o korzystanie z prawa do którego są upowaŜnieni, ich wniosek powinien zostać odpowiednio
rozpatrzony w ustawowym terminie. JednakŜe, w innych sytuacjach pojawiają się równieŜ
konsekwencje finansowe. Dotyczy to m. in. elektronicznych deklaracji podatkowych lub
elektronicznego systemu licytacji w e- zamówieniach publicznych. Oczywiście w takich
sytuacjach pojawiają się nadal kwestie legalności.
Sekcja 5.2 („Środowiska cyfrowe”) opisuje ten temat w sposób bardziej szczegółowy.
2.5.3 Przetwarzanie w czasie rzeczywistym
Oczywiste przykłady usług świadczonych w czasie rzeczywistym to systemy alarmowe w
nagłych wypadkach. Na przykład Gartner wskazuje na Telefoniczny System Alarmowy w
Nagłych Wypadkach, który jest stosowany w kilku stanach USA przez agencje
bezpieczeństwa publicznego, zdrowia publicznego oraz ochrony środowiska, w celu
szybkiego informowania obywateli o powaŜnych zagroŜeniach, takich jak wycieki substancji
chemicznych, przerwy w dostawie mediów oraz poszukiwania przestępców. Technologia ta
wykorzystuje głównie telefony stacjonarne jako urządzenia najbardziej wszechobecne, lecz
moŜe obejmować równieŜ e-administrację, podczas gdy poczta elektroniczna, przeglądarki
internetowe oraz urządzenia przenośne są wspierane poprzez takie systemy. Ponadto,
informacje na temat zatorów w ruchu lub zamykania szkół stanowią informacje czasu
rzeczywistego.
Ś
wiadczenie usług w czasie rzeczywistym oznacza, Ŝe organizacja je świadcząca powinna
przekształcić niezbędne procesy wewnętrzne (back-office) z przetwarzania wsadowego do
przetwarzania w czasie rzeczywistym. Przykładowo, jeŜeli biuletyn rozprowadzany w formie
papierowej zostanie przeniesiony do Internetu, danej organizacji moŜe nie wystarczyć
utrzymanie miesięcznej aktualizacji, a nawet tygodniowa moŜe okazać się niewystarczająca.
NaleŜy dokonać restrukturyzacji zarządzania informacjami tak, aby istotne nowe informacje
mogły zostać umieszczone (prawie) natychmiast w witrynie www.
2.5.4 Integracja obsługi klienta z zapleczem biurowym
Witryna www lub jakikolwiek inny kanał, który moŜe być uŜywany dla celów
komunikowania się, mimo tego, Ŝe w atrakcyjny sposób zaprojektowany oraz w pełni
wyposaŜony, jest sam w sobie jedynie pustym szkieletem. Aby mógł być stosowany jako
dział świadczenia usług musi być połączony z zapleczem biurowym, w którym jest
wykonywana rzeczywista praca stanowiąca podstawę usługi. W tym miejscu występują dwa
wyzwania. Po pierwsze, istniejące urzędy ustaliły procedury zgodnie ze swoją własną logiką.
Często nie są one ani zorientowane na klienta ani oparte na czasie rzeczywistym. Zgodnie z
wcześniejszym opisem, jeŜeli urzędy te mają spełniać potrzeby e-administracji, muszą w nich
16
zostać przeprowadzone radykalne zmiany. Inną kwestią jest to, Ŝe istniejące organizacje
stosują swoje stare technologie w formie starych systemów informacyjnych oraz baz danych.
Problem polega na tym, Ŝe systemy te oraz bazy danych są często w niewłaściwy sposób
dokumentowane oraz trudno jest je utrzymać. Ponadto, w wielu przypadkach personel
informatyczny znający na wylot te systemy opuścili juŜ organizację. Z tych oraz innych
przyczyn trudno jest dziś stworzyć niezbędne interfejsy pomiędzy serwerem www
zapewniającym obsługę klienta a starymi systemami komputerowymi i bazami danych.
2.5.5 E-kanały
Internet stanowi obecnie dominujący kanał, jeŜeli chodzi o stosowanie e-administracji w
ogólności, oraz elektroniczne usługi w szczególności. JednakŜe, widziane z perspektywy
klienta, podejście do stosowania Internetu jako jedynego kanału mogłoby okazać się zbyt
wąskie. Mimo wszystko, nie wszyscy są w równym stopniu doświadczeni w uŜywaniu
komputera. Ponadto, niektóre grupy docelowe są z natury mniej skłonne do stosowania
komputera w celach komunikacji. Na przykład młode osoby komunikują się ze sobą głównie
za pośrednictwem telefonów komórkowych. Mimo, Ŝe istnieje juŜ technologia tworzenia
witryn www, które moŜna przeglądać za pośrednictwem telefonów komórkowych - jest ona
oparta o „WAP”: Wireless Application Protocol – koszty konsumenckie, które wiąŜą się z
tym rozwiązaniem, są dość wysokie. Poza tym, naleŜy zdać sobie sprawę, Ŝe tworzenie takiej
drugiej witryny www, oprócz witryny oryginalnej, oznacza, Ŝe dla celów jej utrzymania
konieczne są dodatkowe wysiłki. Inną moŜliwość stanowiłoby wykorzystywanie usługi
przesyłania wiadomości przez telefony komórkowe: SMS
8
. Przykładem tego rozwiązania jest
inicjatywa rządu Australii, która pozwala kierowcom zlokalizować najniŜsze ceny paliwa w
ich obszarze poprzez róŜne kanały komunikacyjne, z których jeden stanowi SMS. Jeszcze
innym przykładem rozwiązania jest smart card (karta inteligentna)
9
. Rada miasta Bracknell
Forest w Wielkiej Brytanii opracowała na przykład rozwiązanie karty inteligentnej dla
dostarczania róŜnorodnych usług dostępnych przez jedną kartę inteligentną, łącznie z
dostępem do bibliotek oraz basenów kąpielowych, jak równieŜ płatnością za szkolne posiłki.
W Holandii wdraŜane są programy pilotaŜowe do zbadania moŜliwości wykorzystania
technologii karty inteligentnej dla usług takich jak transport publiczny oraz usługi medyczne.
2.5.6 E-podejmowanie decyzji
Tradycyjnie, wybierani demokratycznie przedstawiciele w imieniu swoich zwolenników
podejmują decyzje dotyczące polityki. W ciągu ostatnich lat, wiele krajów stanęło w obliczu
spadku zainteresowania obywateli polityką. E-administracja moŜe być wykorzystana do
przeciwdziałania tej tendencji, poniewaŜ stwarza ona nowe moŜliwości dotyczące
uczestnictwa obywateli w tworzeniu polityki. Twórcy polityki mogą na przykład organizować
badania opinii publicznej lub referenda dotyczące określonych kwestii politycznych, takich
jak plany zagospodarowania przestrzennego, proponowane ustawodawstwo, itd. Wynik takich
sondaŜy/ referendów moŜe odgrywać rolę w procesie podejmowania decyzji.
2.5.7 Zautomatyzowane procesy
8
Krótka Wiadomość Tekstowa (Short Message Service)
9
Karta inteligentna (smart card) jest plastikową kartą wielkości karty kredytowej zawierającą mikroprocesor
oraz określoną ilość pamięci. Jest to rodzaj komputera, który komunikuje się z systemami informacyjnymi
poprzez specjalne urządzenia, znane jako czytniki kart inteligentnych.
17
E-administracja w duŜym stopniu zmniejsza interwencję człowieka. Jedną z jej zalet jest to,
Ŝ
e proces obsługi sprawy w mniejszym stopniu zaleŜy od nastrojów członków personelu i jest
takŜe mniej podatny na błędy popełniane przesz człowieka. Ponadto, systemy informatyczne,
jeŜeli zostaną w prawidłowy sposób zaprojektowane, są bardziej elastyczne w kwestii
obciąŜenia pracą. W zasadzie, z tego względu e-administracja jest w większym stopniu
przystosowana do radzenia sobie z duŜymi wahaniami popytu na usługi. Aby móc
zautomatyzować procesy usług, urząd musi w inteligentny sposób połączyć swoje systemy
obsługujące klienta z odpowiednimi bazami danych w ramach własnej organizacji, a w
stosownych przypadkach równieŜ poza nią.
JednakŜe, eliminacja interwencji człowieka ma nie tylko zalety: ewentualny skutek
niekorzystny polega na tym, Ŝe bez nadzoru człowieka, błędy mogą przejść niezauwaŜone.
2.5.8 ZaleŜność od IT
E-administracja niemal z definicji opiera się w duŜej mierze na technologiach
informatycznych. Oznacza to, Ŝe programy e-administracji są naraŜone na zagroŜenia, jeŜeli
ryzyka związane z technologiami informatycznymi są w niewystarczającym stopniu
rozpoznawane i redukowane. Dwie najwaŜniejsze kwestie w tej materii to bezpieczeństwo
informacji oraz zarządzanie projektem.
W dziedzinie bezpieczeństwa informacji, niezbędna jest jasno określona polityka
bezpieczeństwa. Polityka ta powinna być zgodna zarówno z programami e-administracji
urzędu, jak i jego całościową strategią biznesową. Na podstawie polityki bezpieczeństwa,
naleŜy opracować plan bezpieczeństwa. Między innymi oznacza to określenie spójnego
zestawu mechanizmów, które zmniejszają do dopuszczalnego poziomu ryzyko zagroŜenia
bezpieczeństwa. Oprócz mechanizmów, które mają zostać wdroŜone odnośnie sprzętu oraz
oprogramowania, wymagane są równieŜ mechanizmy organizacyjne. Plan powinien na
przykład określać róŜne obowiązki dla personelu informatycznego, przy zwróceniu naleŜytej
uwagi na podział obowiązków. Plan ciągłości prowadzenia działalności, który jest zgodny z
polityką bezpieczeństwa, jest równieŜ potrzebny w celu przeciwdziałania wszelkim
ewentualnościom. Plan bezpieczeństwa powinien zostać w staranny sposób wdroŜony, zaś
odbywający się okresowo audyt powinien zapewnić niezbędną gwarancję, Ŝe mechanizmy
kontrolne faktycznie istnieją oraz działają.
W przypadku, kiedy nie została ustanowiona i wdroŜona wyraźna polityka bezpieczeństwa
informacji, jedno z ryzyk polega na tym, Ŝe rzeczywisty poziom bezpieczeństwa jest albo
niewystarczający albo zbyt wysoki (oraz kosztowny), co zagraŜa realizacji celów projektu e-
administracji lub aktywom organizacji. Z drugiej strony, nawet wówczas gdy poziom
bezpieczeństwa jest wystarczający, zestaw środków bezpieczeństwa moŜe się okazać
niedostateczny. W sekcji 3.3 omówione zostały ryzyka dotyczące świadczenia usług e-
administracji.
Co interesujące, w odniesieniu do zarządzania projektem, OECD wydało w roku 2001
ostrzeŜenie, zgodnie z którym e-administracja jest zagroŜona, poniewaŜ większość urzędów
doświadcza problemów podczas wdraŜania duŜych projektów IT
10
. Organizacja ta posunęła
się do stwierdzenia, Ŝe „dopóki urzędy nie nauczą się zarządzać ryzykami związanymi z
10
„The hidden threat to E-Government; Avoiding large government IT failures”, PUMA Policy Brief No. 8,
March 2001.
18
duŜymi publicznymi projektami IT, te e-sny zmienią się w globalne koszmary" (e-sny
oznaczają tu strategie e-administracji urzędów).
W swoim studium kontekstowym („Dlaczego projekty IT ponoszą poraŜkę") NAO
przedstawiło następujące, godne uwagi zalecenia dotyczące udoskonalenia projektów
informatycznych w administracji:
•
zagwarantować, Ŝe projekty będą ustalane w kontekście zapewniania modernizacji i
będą widziane jako projekty biznesowe, a nie projekty informatyczne; poprzez
rozwój umiejętności w dziedzinie zarządzania zmianą;
•
podzielić projekty na mniejsze elementy, dające się łatwiej zarządzać;
•
przyjąć w projekcie aktywne oraz widoczne kierownictwo na najwyŜszym poziomie
organizacji, z jasno określonymi obowiązkami i odpowiedzialnością;
•
zwiększyć umiejętności zarządzania projektami, oceniać adekwatność umiejętności
osób zarządzających projektami do stopnia skomplikowania danego projektu oraz
zwiększyć zrozumienie problematyki zarządzania ryzykiem;
•
zidentyfikować podstawowe niezbędne umiejętności oraz zapewnić szybkie sposoby
zdobycia brakujących umiejętności przez posiadaną kadrę lub uzupełnienia kadry o
osoby posiadające niezbędne umiejętności;
•
ulepszyć relacje z dostawcami tak, aby obydwie strony mogły wspólnie oraz
wzajemnie zrozumieć wymogi oraz ryzyka;
•
zapewnić, Ŝe zamierzone korzyści będą osiągnięte poprzez uruchomienie formalnych
procesów celem śledzenia postępów w realizacji;
•
rozpowszechniać wiedzę, najlepsze praktyki oraz doświadczenia celem zapewnienia,
Ŝ
e podczas realizacji nowe projekty będą korzystać z doświadczeń projektów
wcześniejszych.
2.5.9 W końcu...w czym e-administracja nie róŜni się od „zwykłej” administracji?
Skupianie uwagi na charakterystycznych cechach moŜe przysłonić wgląd w kwestie, które są
wspólne dla e-administracji oraz innych waŜniejszych rozwiązań w dziedzinie administracji
publicznej. Z tego punktu widzenia, najwaŜniejszą cechą jest to, Ŝe przełączenie się do e-
administracji stanowi głównie przekształcenie procesu biznesowego. Podczas sympozjum
OECD dla starszych rangą urzędników w czerwcu 2003
11
, uczestnicy odpowiednio
podkreślili, Ŝe „elektroniczna administracja dotyczy w większym stopniu administracji niŜ
elektroniki" i Ŝe kiedyś przywódcy będą musieli zacząć usuwać to „e” z e-administracji”.
Nie skupiając się raczej na samej technologii, uczestnicy uznali znaczące moŜliwości
stosowania technologii jako strategicznego narzędzia w celu modernizacji struktur, procesów
oraz całościowej kultury urzędów publicznych. W wielu krajach przejście to zwane jest
„modernizacją administracji rządowej”, transformacją, która jest wbudowana w plany
krajowe oraz strategie reform dla agencji rządowych oraz istotnych systemów informacji.
2.6. Aspekty rozwojowe
11
Sympozjum zostało zwołane w Waszyngtonie, w Białym Domu 9 czerwca 2003
19
Wydawanie decyzji w sprawie strategii e-administracji, jaka ma zostać wdroŜona, jest
obowiązkiem wyŜszej politycznej kadry kierowniczej w kraju. Strategia ta ma zostać
wdroŜona przez wszystkie poziomy zarządzania publicznego.
Gartner rozróŜnia następujące etapy rozwoju e-administracji:
•
(Obecność): witryny www, prezentujące tylko informacje,
•
(Interakcja): ograniczona interaktywność, podstawowe poszukiwanie, wyszukiwanie
proste, odnośniki do stron,
•
(Transakcja): portale, e- zamówienia publiczne, aplikacje samoobsługowe,
•
(Transformacja): aplikacje CRM
12
, personalizacja, wybory i głosowanie.
Komisja Europejska (inicjatywa „e-Europa”) definiuje następujące etapy:
•
(Informacja): informacja online na temat usług publicznych,
•
(Interakcja jednostronna): pobieranie formularzy,
•
(Interakcja dwustronna): przetwarzanie formularzy, łącznie z uwierzytelnianiem,
•
(Transakcja): portale, zamówienia publiczne, obsługa przypadków aplikacji
samoobsługowych, decyzja oraz dostarczenie (płatność).
Zarówno w modelach Gartnera jak i Wspólnot Europejskich, wyŜsze stopnie rozwojowe
opierają się na niŜszych.
NaleŜy zauwaŜyć, Ŝe podczas, gdy oba modele uznają cztery etapy, etap 4 Wspólnot
Europejskich (Transakcja) odpowiada połączeniu etapów Gartnera 3 (Transakcja) oraz 4
(Transformacja).
Z uwagi na fakt, Ŝe te dwa modele są w duŜym stopniu porównywalne, oraz, Ŝe się takŜe
pokrywają, proponujemy je połączyć. W ten sposób identyfikujemy następujące etapy:
- Etap 1 (Obecność): witryny www, dostępne dwadzieścia cztery godziny na dobę,
przedstawiające tylko informacje na temat usług publicznych,
- Etap 2 (Prosta interakcja): wyszukiwanie proste, odnośniki do stron; pobieranie formularzy,
- Etap 3 (Inteligentna interakcja): przetwarzanie formularzy, łącznie z uwierzytelnianiem,
- Etap 4 (Transakcja): rozpatrywanie spraw; decyzja oraz dostarczanie (płatność), aplikacje
CRM, personalizacja, wybory i głosowanie, zamówienia publiczne.
Według róŜnych ekspertów, wdroŜenie wszystkich tych etapów moŜe potrwać co najmniej 5
lat. Z tego właśnie względu ambitny zamiar opracowania pełnej e-administracji będzie
wymagał ciągłych wysiłków wszystkich zainteresowanych stron. Aspiracje osiągnięcia
najwyŜszego etapu rozwoju e-administracji są teraz typowe dla wielu krajów europejskich. Z
uwagi na fakt, Ŝe etap 4 jest obecnie badany, i zostaną opracowane innowacyjne procedury
współdziałania, zarówno wśród agencji rządowych jak i pomiędzy administracją a
obywatelami/przedsiębiorstwami, mogą się pojawić nowe perspektywy.
12
Zarządzanie Relacjami z Klientami
20
2.7. Uwagi ko
ń
cowe
Wiele agencji, w wielu róŜnych sektorach, wprowadziło obecnie e-administrację lub jest w
trakcie jej wprowadzania. Pod warunkiem właściwego wdroŜenia, e-administracja moŜe
przynieść korzyści dla obywateli oraz przedsiębiorstw, takie jak wygoda i lepsze usługi. Co
równie waŜne, takŜe same agencje mogą odnosić korzyści z e-administracji, zwłaszcza w
postaci większej skuteczności i wydajności. Z drugiej strony, e-administracja zwiększa
równieŜ słabość agencji, poniewaŜ jest ona silnie zaleŜna od IT. Ponadto, agencja musi
zajmować się róŜnymi kwestiami organizacyjnymi, takimi jak tworzenie organizacji
zorientowanej na klienta oraz integrowanie front office z back office.
W celu zapewnienia, Ŝe potencjalne korzyści mogą rzeczywiście zostać osiągnięte i Ŝe
niepotrzebne ryzyko, albo dla agencji albo jej klientów będzie zminimalizowane, niezbędne
jest dobre zarządzanie IT. Specjalnej uwagi wymagają zarządzanie projektem oraz
bezpieczeństwo informacji. Co więcej, z powodu swojej istotnej roli w wypełnieniu misji
agencji, IT powinno zostać właściwie dostosowane do strategii biznesowej agencji. Z tych
względów, odpowiedzialność za rozwiązania e-administracji nie moŜe spoczywać na niŜszych
poziomach kierownictwa ani teŜ na jednostce IT. Natomiast, waŜniejszą rolę pełni tu wyŜsze
rangą kierownictwo. Kluczem do pomyślnej e-administracji jest to, Ŝe ten górny poziom
opracowuje wizję dotyczącą e-administracji z zamiarem realizacji tejŜe wizji.
21
ZAŁ
Ą
CZNIK 1
Wspólna lista Unii Europejskiej podstawowych usług publicznych
Lista ta obejmuje usługi e-administracji, które są uznawane przez Unię Europejską za usługi
podstawowe. Lista została ułoŜona w kontekście planu działań e-Europa. Jest ona
wykorzystywana przez Unię Europejską w celu monitorowania postępu dokonywanego w
ramach Unii Europejskiej dotyczącego wdraŜania podstawowych usług e-administracji.
Usługi publiczne dla obywateli
1
Podatki dochodowe: deklaracje, zawiadomienie o ocenie naleŜności podatkowych
2
Usługi poszukiwania pracy świadczone przez urzędy pracy
3
Składki na zabezpieczenie socjalne (3 z następujących 4):
•
Zasiłki dla bezrobotnych
•
Zasiłki na dzieci
•
Koszty medyczne (refundacja lub bezpośrednie rozliczenie)
•
Socjalne stypendia studenckie
4
Dokumenty osobiste (paszport oraz prawo jazdy)
5
Rejestracja pojazdu (samochody nowe, uŜywane oraz importowane)
6
Wnioski o zezwolenie na budowę
7
Zgłoszenia policji (np. w przypadku kradzieŜy)
8
Biblioteki publiczne (dostępność katalogów, narzędzia wyszukiwania)
9
Certyfikaty (urodzin, małŜeństwa): wniosek i dostarczenie
10
Zapisy do wyŜszych szkół /uniwersytetów
11
Ogłoszenie przeprowadzki (zmiana adresu)
12
Usługi związane ze zdrowiem (np. interaktywne porady dotyczące dostępności
usług w róŜnych szpitalach; skierowanie do szpitali.)
Usługi publiczne dla przedsiębiorstw
1
Składki na zabezpieczenie socjalne dla pracowników
2
Podatek dochodowy od osób prawnych: deklaracje, zawiadomienia
3
VAT: deklaracje, zawiadomienia
4
Rejestracja nowego podmiotu publicznego
5
Dostarczanie danych do urzędów statystycznych
6
Deklaracje celne
7
Zezwolenia dotyczące ochrony środowiska ( wraz z raportowaniem)
8
Zamówienia publiczne
3. RYZYKO
3.1 Wst
ę
p
Rozdział ten opisuje niektóre ryzyka związane z przedwdroŜeniowymi fazami dotyczącymi
planowania i opracowywania usług e-administracji, ryzyk powstających podczas ich
22
wprowadzania oraz ryzyk wiąŜących się ze świadczeniem usług e-administracji. Niniejszy
rozdział jest zakończony kilkoma uwagami dotyczącymi kontroli projektów usług e-
administracji oraz towarzyszących im podejść kontrolnych.
3.2. Ryzyka zwi
ą
zane z planowaniem, opracowywaniem oraz
wprowadzaniem usług e-administracji
3.2.1 Planowanie strategiczne, koordynacja oraz zarządzanie jakością
Brak lub nieodpowiedniość centralnego organu odgrywającego strategiczną rolę na poziomie
federalnym, centralnym lub lokalnym niesie ryzyko nieskoordynowanego planowania oraz
wprowadzania usług e-administracji
13
. Ryzyka te obejmują brak centralnej koordynacji
prowadzący do róŜnic strukturalnych, nakładania się na siebie funkcji, powielania środków,
itp. Działania, jakie mają zostać podjęte, obejmują odpowiednie postanowienia Narodowego
Planu Rozwoju, centralnego dofinansowywania, polityki „kija i marchewki", obowiązkowych
norm jakości itd.
3.2.2 Oczekiwania uŜytkownika/ badanie profilu uŜytkownika/ Zapewnienie jakości
Nie ulega wątpliwości, Ŝe do chwili obecnej, internet stał się szeroko stosowaną platformą
komunikacji we wszystkich Państwach Członkowskich Unii Europejskiej i Ŝe koszt dostępu
do niej obniŜył się gwałtownie od połowy lat 90tych. Wiele z usług świadczonych przez
urzędy za pośrednictwem internetu jest prawie niewykorzystywane. Pomimo tej luźnej
"relacji klienckiej" pomiędzy administracją i obywatelem (relacja urząd-obywatel), jednostki i
agencje zazwyczaj biorą za pewnik atrakcyjność swoich usług online lub przynajmniej kierują
się takim załoŜeniem (na podstawie dowodów, takich jak pozytywne reakcje na moŜliwość
wypełniania deklaracji celnych przez Internet, jak np. relacja urząd-przedsiębiorca).
Niedokładne sondaŜe badania akceptacji niosą ryzyko niewłaściwego ukierunkowywania
potencjalnych uŜytkowników oraz wprowadzających w błąd wysiłków mających na celu
sprawienie, Ŝe administracja będzie bardziej wydajna i skuteczna, poprzez dostęp do internetu
w ogólności oraz dostęp do usług e-administracji w szczególności. Brak wyraźnych kryteriów
jakości moŜe stanowić zagroŜenie dla zgodności obecności w internecie jednostki lub agencji
13
Na przykład Niemieckie Federalne Ministerstwo Spraw Wewnętrznych ma być odpowiedzialne za centralne
planowanie i koordynację wszystkich projektów e-administracji poprzez federalną administrację publiczną oraz
ma za zadanie ustanowienie kontaktów lub łączy do systemów urzędów państwowych i lokalnych (oraz innych
urzędów krajowych). Z drugiej strony niemiecka Konstytucja Federalna określa, Ŝe kaŜdy Minister Federalny
prowadzi działalność swojego departamentu samodzielnie i na swoją własną odpowiedzialność (chociaŜ w
ramach wytycznych polityki ustanowionych przez Kanclerza Federalnego). Oznacza to, Ŝe odpowiedzialność za
dostarczanie usług IT w duŜej mierze spoczywa na poszczególnych departamentach rządu federalnego.
Departamenty te, jak równieŜ agencje im podległe projektują i opracowują większość ze swoich własnych
aplikacji IT potrzebnych dla ich konkretnych operacji oraz, w większości przypadków, prowadzą swoje własne
centra komputerowe.
W Polsce strategia rządu pt. Wrota Polski (Gateway Poland) określa dwa główne cele, które mają zostać
osiągnięte w obszarze usług publicznych przed rokiem 2005: osiągnięcie średniej Unii Europejskiej dla
podstawowych usług publicznych dostępnych poprzez elektroniczne środki przekazu oraz wzrost skuteczności
urzędów publicznych o 40%. Strategia ta przewiduje takŜe przeniesienie całego procesu zamówień publicznych
do Internetu przed końcem roku 2004.
23
z potrzebami oraz Ŝyczeniami „klientów”, przepisami prawnymi oraz innymi wymogami
dotyczącymi prywatności i bezpieczeństwa danych.
Agencje wdraŜające powinny zagwarantować, Ŝe istniejące struktury oraz procedury, które
zostały utworzone w celu radzenia sobie w sposób tradycyjny uŜytkowników z róŜnymi
sprawami i transakcjami są analizowane oraz właściwie modyfikowane lub zastępowane
innymi, w kaŜdym przypadku, kiedy jest to konieczne dla ułatwienia oraz przyśpieszenia
wprowadzenia oraz rozwoju e-administracji.
W praktyce struktury oraz procedury administracji (łącznie ze strukturami administracyjnymi,
profilami zasobów ludzkich oraz wzorami zarządzania) rzadko odzwierciedlają potrzeby e-
administracji. W ten oto sposób powodzenie programów e-administracji w głównej mierze
zaleŜy od zdolności oraz skuteczności transformacji biznesowej dotyczącej usług, które mają
być dostarczane on-line. Większość tych struktur oraz procedur moŜe zazwyczaj wynikać z
waŜnych rozporządzeń podległych dość długiemu procesowi demokratycznemu. Planowanie
finansowe moŜe zaleŜeć od struktury budŜetu, która w ogóle nie jest zorientowana na e-
administrację.
Ś
rodki mające na celu zmniejszenie tego ryzyka muszą obejmować wielorakie sposoby oraz
mechanizmy towarzyszące oraz przewidujące skuteczny oraz bezpieczny elektroniczny back
office, który jest w stanie przechowywać oraz odzyskiwać dokumentację administracji taniej i
szybciej.
3.2.3 Opłacalność
Urzędy muszą zapewnić, Ŝe usługi e-administracji będą nie tylko funkcjonalne, lecz będą
równieŜ wprowadzane w sposób opłacalny. W sumie, w budŜetach przewidziano duŜe
nakłady na inicjatywy e-administracji. Największa część całkowitych wydatków przewidziana
w budŜecie zostanie poniesiona w nadchodzących latach. Na przykład w Niemczech 25%
tych wydatków ma zostać wykorzystana na wprowadzenie usprawnień do struktur
administracyjnych oraz powiązanych procesów biznesowych. Potrzeby związane z
finansowaniem mają być w duŜym stopniu zaspokojone poprzez oszczędności oraz ponowne
rozdzielenie funduszy w ramach jednostek i agencji oraz pomiędzy nimi.
Mimo, Ŝe opisane zostały potencjalne korzyści, takie jak oszczędności materiałów oraz
przyśpieszenie procesów biznesowych, finansowa analiza kosztów i korzyści oraz ocena
jakości oraz waŜności róŜnych usług w większości przypadków nie zostały jeszcze podjęte.
MoŜe to doprowadzić do niedokładnej oceny wpływu oszczędności wynikającego z usług
informacyjnych prowadzonych poprzez internet. Wszelkie potencjalne oszczędności będą
prawdopodobnie mniejsze niŜ te, które są generowane poprzez świadczenie usług
komunikacyjnych oraz transakcyjnych.
Ponadto, następujący fakt musi zostać wzięty pod uwagę podczas przeprowadzania analizy
kosztów i korzyści:
Przez długi czas usługi e-administracji mogą wymagać duplikowanie infrastruktury obok
konwencjonalnej infrastruktury dla usług publicznych dostarczanych bez pośrednictwa
internetu.
24
Niedokładne oceny mogą zagrozić wyobraŜeniu na temat znaczących przyszłych wydatków,
jakich moŜna się spodziewać związku z koordynowaniem, sterowaniem, księgowością oraz –
w stosownych przypadkach – pobieraniem opłat za te usługi.
Do końca roku 2005, prawie wszystkie usługi, jakie mają zostać włączone do programu e-
administracji mają być dostępne online poprzez internet; w wielu krajach Unii Europejskiej
około 60% tych usług ma być dostępna w sieci juŜ pod koniec roku 2003.
Agencje wdraŜające powinny właściwie zdefiniować swoje cele przy uŜyciu istniejących
instrumentów (łącznie z narodowymi planami rozwoju, rocznymi oraz wieloletnimi
budŜetami, regionalnymi oraz miejskimi planami itd.), jak równieŜ przy uŜyciu specyficznych
dla zadania instrumentów, jeśli zajdzie taka potrzeba. Dokumenty te powinny być spójne oraz
zgodne z dobrą praktyką. NaleŜy równieŜ przeprowadzić niezbędne działania w celu realizacji
tych celów.
Obecnie często brakuje przejrzystości projektów oraz definicji celów, planowanych etapów
wprowadzania poszczególnych usług. Istniejące dokumenty mogą nie zawierać specyficznych
elementów łącznie z mierzalnymi celami, które umoŜliwiają późniejszą ocenę programu w ich
kontekście. Takie informacje powinny być obszernie publikowane do wglądu przez
wszystkich bezpośrednio lub pośrednio zainteresowannych.
3.2.4 Utworzenie niezbędnych ram prawnych i organizacyjnych.
Urzędy muszą zapewnić niezbędne ramy prawne i organizacyjne promujące e-administrację.
NajwaŜniejszymi obszarami są koszt dostępu oraz bezpieczeństwo transakcji.
Mimo, Ŝe wiele postanowień prawa cywilnego oraz administracyjnego zostało do tej pory
dostosowanych do wymogów elektronicznej komunikacji oraz transakcji, ryzyko braku
solidnych ram prawnych dla ambitnych programów działań reformy administracji wymagać
będzie dalszych niesłabnących wysiłków w celu przyjęcia istniejącego oraz wcielenia nowego
ustawodawstwa.
Będą musiały zostać podjęte wczesne decyzje dotyczące prawnych oraz organizacyjnych ram
dostarczania usług publicznych przez internet. Alternatywne opcje, które moŜna wybrać są
następujące:
•
dostarczenie całej gamy usług e-administracji poprzez bezpośrednie organizacje
usługowe (znane równieŜ pod nazwą „funduszy branŜowych”) w ramach
departamentów lub agencji lub
•
przeniesienie kontraktów dotyczących całej odnośnej pracy lub jej części do
prywatnego sektora (outsourcing rozwoju, operacje oraz/lub infrastruktury IT,
zapewnienie usług aplikacji, dostarczanie sieci).
3.2.5 Standardy IT oraz rozporządzenia
Ustalono wiele obowiązujących standardów dotyczących wdroŜenia projektów IT oraz ich
oceny zgodnie z kryteriami wykonalności ( wartość za cenę)
14
.
14
Np. w Niemczech: http://www.kbst.bund.de/Anlage300441/Band+52+komplett+%281%2c3+MB%29.pdf
25
Agencje wdraŜające powinny zapewnić zgodność systemów e-administracji z normami takimi
jak ISO 17799, CobiT oraz obowiązującym ustawodawstwem regulującym handel
elektroniczny.
Samo istnienie norm oraz rozporządzeń nie jest wystarczające w przypadku złoŜonych,
nowych, kosztownych oraz stresujących zadań, częściowo wykonywanych przez organizacje
w głębokim procesie re-engineeringu, który jest zazwyczaj niezbędny podczas
przekształcenia w prawdziwą e-administrację. Istnieje powaŜne ryzyko, Ŝe urzędy będą się
przede wszystkim koncentrować na kwestiach dostarczania i zapomną o normach i
rozporządzeniach.
Z uwagi na fakt, Ŝe wiadomości oraz transakcje e-administracji pociągają za sobą równieŜ
wymianę poufnych danych pomiędzy administracją i obywatelami, naleŜy wydać
odpowiednie wytyczne dotyczące planowania i wdraŜania bezpiecznych aplikacji e-
administracji.
15
RóŜne rozwiązania publicznych systemów IT, zwłaszcza te, które mają podstawowe
znaczenie dla bezpieczeństwa IT w obszarach wysokiego ryzyka muszą zostać ocenione. W
tym celu muszą zostać ustalone, a niekiedy opracowane, specyficzne normy bezpieczeństwa,
zaś systemy IT skontrolowane w ich kontekście. Wiele rozwiązań systemów IT będzie
musiało przejść proces certyfikacji bezpieczeństwa, aby spełnić wymogi prawne, albo Ŝeby
zachować zgodność z poziomami zapewnienia bezpieczeństwa.
Ponadto, moŜna uzyskać darmowe oprogramowanie usług publicznych, które juŜ zostało
opracowane przez inne jednostki administracyjne.
Brak wytycznych metodologicznych oraz odpowiednich norm IT
16
moŜe spowodować
zagroŜenie dla interoperacyjności pomiędzy róŜnymi aplikacjami e-administracji, zarówno w
odniesieniu do nowo opracowanych, jak i istniejących aplikacji.
W przypadku, kiedy rozwój infrastrukturalny (jakość, dostęp do internetu itd.) w niektórych
obszarach nie spełnia poŜądanych norm w odpowiednim czasie, moŜe to mieć głęboki wpływ
na dostępność oraz funkcjonowanie nawet najlepszych usług e-administracji, świadczonych
przez najpotęŜniejsze serwery oraz centra.
Istnieje wiele sposobów osiągnięcia zgodności. Procedury samooceny, kontrole wewnętrzne,
NOK, specjalistyczne organizacje oraz procedury współistnieją w wielu krajach i tworzą sieć
struktur oraz mechanizmów promujących zgodność z dobrymi praktykami, normami
zawodowymi oraz wymogami prawnymi odnoszącymi się do e-administracji oraz jej
elementów.
3.2.6 Dostarczenie infrastruktury technicznej
Brak konsekwencji w planowaniu moŜe stanowić zagroŜenie dla dostępności oraz
wiarygodności podstawowych komponentów IT oraz urządzeń (portal internetowy, system
15
Porównaj program „ePolska” z marca 2003, który nakłada odpowiedzialność ustanawiania standardów dla
bezpiecznych aplikacji administracyjnych na ministerstwa lub w przypadku Niemieckiego Rządu Federalnego
patrz:
http://www.bsi.bund.de/fachthem/egov/3_en.htm
16
W celu zapewnienia interoperacyjności pomiędzy róŜnymi aplikacjami e-administracji, zarówno nowo
opracowanymi jak i istniejącymi, metodologiczne wytyczne „Standards and Architectures in e-Government
Applications” (SAGA) zostały przyjęte w Niemczech na początku roku 2003.
26
zarządzania zawartością, serwer formularzy, podstawowe usługi dla bezpieczeństwa
transakcji), które powinny znajdować się w dyspozycji większości jednostek administracji
oraz agencji oraz ich róŜnych typów usług online.
3.2.7 ZaleŜność od firm IT
W rezultacie niewłaściwego dostarczania lub niedostatecznych rozporządzeń normatywnych
oraz prawnych, firmy dostarczające IT dla Administracji mogą zdobyć specjalną pozycję w
systemach e-administracji. Konsekwencje mogą obejmować, co następuje: preferowanie
niektórych z nich, zakłócenia konkurencyjności na wolnym rynku oraz zmniejszanie się
opłacalności całego systemu.
Urzędy powinny unikać zamykania się w konkretnej technologii posiadanej przez firmy, które
mogłyby wykorzystać tę dominację do stosowania nieuczciwych cen.
W konfrontacji z tym ryzykiem moŜemy zastosować technologię open source, dwie lub
więcej alternatywne technologie konkurencyjne w stosunku do siebie na rynku, dokładnie
opracować kontrakty długoterminowe, które przewidują stabilność cen (lub redukcję cen
rynkowych), utrzymanie oraz przyszłe rozwiązania.
3.2.8 Prawo do domeny internetowej
Niewystarczające warunki prawne stanowią zagroŜenie dla prawa do domeny internetowej.
Aby utrzymać obecność w internecie, kaŜda jednostka lub agencja musi posiadać adres
internetowy lub „domenę internetową” zarejestrowaną we właściwym organie. Wybrana
nazwa musi stanowić nazwę, którą uŜytkownicy internetu mogą logicznie powiązać z
usługami oferowanymi przez departament lub agencję. Na przykład, w przypadku organu
polskiego, logicznym wyborem byłoby „www.nazwaorganu.gov.pl, zaś w przypadku
niemieckiego organu niemieckiego „www.nazwaorganu.de” lub „www.opis usługi.de”.
3.2.9. Postęp w technologii informacyjnej oraz komunikacyjnej
W przeciwieństwie do innych sfer Ŝycia, technologia informacyjna i komunikacyjna (ICT)
podlega nadzwyczaj szybkim zmianom. Tak jak w przeszłości, moŜliwości platform
stosowanych do prowadzenia systemów IT będą się prawdopodobnie podwajać co 18-24
miesiące. Nieodpowiednie platformy komunikacyjne wybrane dla e-administracji,
mianowicie Internet oraz poczta elektroniczna są zagroŜone wpływem szybkiego postępu
technologicznego. Usługi e-administracji będą musiały ściśle nadąŜać za tymi rozwiązaniami
w relacjach z „klientami”.
Znaczne ryzyko dotyczy tempa, w którym ICT rozwija się w docelowej populacji i obszaru
geograficznego e-administracji . Łączy to ze sobą wiele aspektów rozwoju łącznie z
infrastrukturą, jakością usług, ich dostępnością finansową oraz wykształceniem.
3.3. Ryzyka dotycz
ą
ce prowadzenia usług e-administracji
3.3.1 Dostateczne bezpieczeństwo techniczne oraz organizacyjne IT
Wprowadzenie usług e-administracji często oznacza zakup nowego lub przekształcenie
istniejącego sprzętu ICT oraz infrastruktury.
27
Ryzyko błędu oraz naduŜycia implikuje konieczność zaplanowania oraz wdroŜenia licznych
mechanizmów w zasadzie nieistniejących w wolnym środowisku IT: podziału obowiązków,
sterowania dostępem, sterowania wejściem, sterowania przetwarzaniem itd.
Brak wyraźnych ustaleń dotyczących nie tylko prawnej ochrony prywatności, lecz równieŜ
uzyskania bezpieczeństwa danych niesie ze sobą szczególne ryzyko związane z
niezabezpieczonym stosowaniem poczty elektronicznej oraz internetu jako platform
komunikacji oraz transakcji w związku z usługami e-administracji.
Działania, jakie mają zostać podjęte mają na celu między innymi, co następuje (porównaj
sekcję 5.3.3. Kontrola aplikacji IT”)”
- Rzetelność
Wymóg rzetelności oznacza, Ŝe muszą zostać podjęte kroki w celu zabezpieczenia informacji
przechowywanych w komputerze oraz danych przed częściową lub całkowitą utratą,
zniszczeniem lub fałszowaniem. W kwestii komunikacji elektronicznej, oznacza to, Ŝe dane
muszą być w pełni chronione przed zmianami lub ingerencją w nie podczas transmisji.
- Autentyczność
To pojęcie wymaga podjęcia odpowiednich działań w celu zapewnienia, ze partner
komunikacji jest osobą, za którą się podaje oraz/lub, Ŝe informacje otrzymane w
rzeczywistości pochodzą ze wskazanego źródła.
Muszą istnieć ustalenia, które zagwarantują, Ŝe źródło danych osobowych moŜe zostać
zidentyfikowane w dowolnym momencie. W tym kontekście, naleŜy poczynić rozróŜnienie
pomiędzy dowodem toŜsamości (partnerzy komunikacji potwierdzają swoją toŜsamość w
sposób, który wyklucza wszelkie wątpliwości) oraz dowodem pochodzenia (wysyłający
udowadnia, Ŝe wiadomość pochodzi od niego/niej i nie została zmieniona). Procedury
uwierzytelniania słuŜą wykrywaniu dostępu jakichkolwiek osób nieupowaŜnionych oraz
zapewniają ochronę przed nieautoryzowaną ingerencją w dane, oraz zabezpieczaniu
wraŜliwych danych podczas ich przesyłania za pośrednictwem internetu. Wymaga to
procedur, które umoŜliwiają wszystkim zainteresowanym stronom zidentyfikować swoich
partnerów komunikacji bez Ŝadnych wątpliwości.
- Poufność
NaleŜy zagwarantować, Ŝe dane oraz informacje mogą zostać ocenione tylko przez osoby
upowaŜnione oraz na dopuszczalne sposoby.
W sytuacjach, kiedy dane są przesyłane za pośrednictwem Internetu bez ustaleń dotyczących
ochrony technicznej, osoby trzecie mogą mieć wgląd w treść wiadomości i modyfikować je
bez wiedzy nadawcy lub adresata. Muszą zostać podjęte odpowiednie środki zaradcze w celu
zapobiegania niemoŜliwemu do wykrycia wglądowi w treść wiadomości elektronicznych
przez osoby nieupowaŜnione oraz ingerencji w treść tych wiadomości.
- Dostępność
28
NaleŜy opracować ustalenia dotyczące zapewnienia, Ŝe informacje oraz usługi są dostępne w
odpowiednim czasie, w kaŜdym momencie, kiedy są potrzebne uŜytkownikowi. Potrzeba
terminowego oraz prawidłowego przetwarzania danych jest nadzwyczaj wielka, jeśli chodzi o
usługi e-administracji. NaleŜy poczynić największe moŜliwe wysiłki celem uniknięcia utraty
danych oraz utrudnienia działania sprzętu lub oprogramowania spowodowanego przez awarie
techniczne. W ramach szerszej „Polityki bezpieczeństwa” wymagane są solidne plany
tworzenia kopii zapasowych oraz odzyskiwania utraconych plików.
- WiąŜący charakter transakcji elektronicznych oraz potwierdzenie przyjęcia wiadomości
NaleŜy poczynić ustalenia w celu zapewnienia, Ŝe wysyłanie oraz odbiór danych i informacji
nie mogą zostać zakwestionowane (tj. umoŜliwić wydanie potwierdzenia, Ŝe wiąŜąca prawnie
transakcja została zawarta).
- MoŜliwość poddania się kontroli
Organy, które prowadzą usługi e-administracji mają obowiązek poczynić techniczne oraz
organizacyjne ustalenia pozwalające na późniejszą weryfikację transakcji elektronicznych, co
pozwala kierownikom lub kontrolerom dowiedzieć się, kto wprowadził lub przekazał jakie
dane oraz w jakim czasie. Poczynione ustalenia muszą być równieŜ odpowiednie, aby moŜna
było wykryć i prowadzić dochodzenie w sprawie jakichkolwiek niedopuszczalnych prób
dostępu do danych lub ingerencji w nie.
Do przykładów ryzyk oraz potencjalnych szkód spowodowanych przez niezgodność z tymi
wymogami naleŜą:
•
wprowadzenie do sieci IT złośliwego oprogramowania (tj. wirusów, koni
trojańskich, bomb logicznych lub robaków);
•
ingerencja w/uszkodzenie/zniszczenie systemów operacyjnych lub
oprogramowania aplikacji (łącznie z uszkodzonymi rekordami);
•
niedostateczna ochrona dostępu do zdalnej konserwacji;
•
ingerencja
spowodowana
"wewnętrznymi
sprawcami"
(np.
administratorami lub uŜytkownikami);
•
uszkodzone lub ryzykowne oprogramowanie;
•
ingerencja w łącza komunikacyjne;
•
niedostateczna świadomość bezpieczeństwa;
•
niedostatecznie wykwalifikowany personel.
Szkoda spowodowana tymi czynnikami moŜe zostać zaklasyfikowana do tych róŜnych
kategorii:
•
materialna;
•
finansowa (przestój to (takŜe) pieniądze);
•
niematerialna (moŜe być bardziej dotkliwa niŜ szkoda finansowa) oraz szkoda
związana z personelem.
Logowanie zapobiega dostępowi osób nieupowaŜnionych oraz ingerencji, poniewaŜ nikt nie
moŜe mieć pewności, Ŝe wykroczenia przejdą niezauwaŜone.
29
Ś
cieŜki audytu
17
mogą zapewnić, Ŝe nie miała miejsca ingerencja w dane. Poświęcenie tej
kwestii szczególnej uwagi jest istotne, poniewaŜ w stopniu, w jakim program e-administracji
prowadzi do zaprzestania stosowania formularzy papierowych, tradycyjne ścieŜki audytu,
równieŜ mają tendencję do zanikania. Z tej przyczyny organizacja powinna utworzyć nowe
ś
cieŜki audytu w zautomatyzowanych systemach informacyjnych w celu zapewnienia, Ŝe
transakcje zawsze mogą być kontrolowane.
Nieistniejące lub niedostateczne ścieŜki audytu wprowadzają ryzyko, Ŝe nieautoryzowane
zmiany danych mogą przejść niezauwaŜone.
3.3.2 Bezpieczeństwo transakcji
W celu zapobiegania niedostatecznemu bezpieczeństwu transakcji w odniesieniu do
komunikacji z klientem oraz – zwłaszcza - usług transakcji (urząd-obywatel; urząd-
przedsiębiorca; urząd-urząd), administracja powinna przestrzegać wymogów rozporządzenia
dotyczącego podpisu cyfrowego (Digital Signature Ordinance). Ponadto, naleŜy starać się
zapewnić interoperacyjność pomiędzy krajowymi oraz międzynarodowymi rozwiązaniami
dotyczącymi podpisu cyfrowego.
Aby urzędy publiczne mogły się komunikować bezpiecznie przez internet i aby komunikacja
ta była prawnie wiąŜąca, muszą one posiadać równieŜ „wirtualnego zarządcę poczty”, który
pełniłby rolę zautomatyzowanej w duŜym stopniu centralnej bramki bezpieczeństwa i
wykonywałby funkcję uwierzytelniania, weryfikowania oraz generowania podpisów
cyfrowych, deszyfracji oraz szyfracji, jak równieŜ przeprowadzałby inne kontrole
bezpieczeństwa. Wysokiej jakości usługi mogą wymagać ścisłego uwierzytelniania przez
klienta i w przypadku niektórych typów komunikacji, które dla swojej waŜności wymagają
formy pisemnej, autentyczność musi być uznana, co z kolei wymaga waŜnego podpisu
cyfrowego.
3.3.3. Transakcje dotyczące płatności
W przyszłości regulowanie opłat, naleŜności celnych oraz podatków w wysokości dziesiątek
miliardów euro kaŜdego roku będzie przepływać przez systemy IT organów podatkowych
oraz celnych. Niewystarczające wymogi dotyczące bezpieczeństwa mogą stanowić zagroŜenie
dla elektronicznego pobierania tych opłat w jeszcze większym stopniu niŜ standardy
niespełnione przez inne systemy świadczące usługi e-administracji.
Za pomocą platformy przekazywania funduszy organ zainteresowany mógłby i powinien
ś
wiadczyć usługę elektroniczną dotyczącą pobierania takich opłat, podatków oraz ceł,
gwarantując, Ŝe naleŜne kwoty będą w rzeczywistości otrzymane i Ŝe dowody otrzymania
zostaną w odpowiedni sposób przekazane odpowiedniej jednostce zarządzania gotówką
odpowiedzialnej za księgowanie lub, jeŜeli nie powiedzie się transfer elektroniczny, takie
niepowodzenie będzie natychmiast zgłoszone.
17
ŚcieŜka audytu jest to chronologiczny zestaw zapisów, które razem stanowią dokumentację przetwarzania,
wystarczającą do tego, aby umoŜliwić rekonstrukcję, przegląd oraz zbadanie działalności (źródło: „Kontrola
systemów informacyjnych; Glosariusz terminów, Komitet INTOSAI ds. IT).
30
3.3.4 Zbędność,
przerwy
w
funkcjonowaniu
mediów
oraz
niewystarczająca
interoperacyjność
Zbędne struktury dotyczące świadczenia usług powinny zostać rozwiązane. W celu eliminacji
przerw w funkcjonowaniu mediów, cała transakcja usługi e-administracji powinna się
odbywać na dłuŜszą metę za pośrednictwem IT. W sytuacjach, kiedy usługi administracyjne
nie obejmują Ŝadnych podejmowanych według własnego uznania decyzji dotyczących
indywidualnych przypadków, dostarczanie usługi powinno być w pełni zautomatyzowane.
3.4. Kontrola ryzyka zwi
ą
zanego z projektami usług e-administracji
3.4.1 Wymagania dla kontrolera
DuŜa róŜnorodność oraz złoŜoność następujących czynników moŜe pełnić rolę pierwszych
wskazówek dla podejść kontrolnych:
•
liczba departamentów oraz agencji biorących udział w programach;
•
ogromna liczba usług elektronicznych i projektów;
•
wzajemne połączenie usług elektronicznych (oraz wśród krajowych,
regionalnych oraz lokalnych jednostek administracji) oraz
•
w szczególności wymagane duŜe fundusze.
Czynniki te nakładają wysokie zawodowe wymagania na kontrolera usług e-administracji:
•
technicznej wiedzy kontekstowej potrzebnej do dokonania oceny specyfikacji
technicznych, które mają być zachowane przez rzeczoną usługę e-administracji;
•
dogłębnej wiedzy na temat platformy ICT, na której będzie prowadzona usługa e-
administracji;
•
zdolności analizowania danych; wiedzy oraz umiejętności stosowania technik
elektronicznego zbierania oraz analizy dowodów kontroli.
3.4.2 Etyka
Dosyć często kontroler, który przeprowadza kontrole e-administracji, znajduje się w trudnych
sytuacjach, w których pojawia się potrzeba podejmowania decyzji etycznych. NOK będzie
musiało zagwarantować, Ŝe kaŜdy kontroler zaangaŜowany w przeprowadzanie takich
kontroli, będzie gotowy poradzić sobie z takimi sytuacjami.
3.4.3 Podejścia kontrolne
Początkowe doświadczenia dotyczące kontroli zostały zdobyte przy kilku projektach
wdraŜanych zgodnie z inicjatywami e-administracji. Dzięki faktowi, Ŝe zwłaszcza ryzykowne
usługi transakcji będą wprowadzane w późniejszym okresie, potrwa jeszcze kilka lat zanim
NOK będzie w stanie opracować decydujące wnioski dotyczące kontroli oraz wnioski
dotyczące wprowadzenia i działania złoŜonych usług e-administracji.
31
Jako przykłady konkretnych podejść kontrolnych do ryzyk na etapie projektowania programu,
planowania wydatków publicznych, podczas realizacji programu
18
oraz na etapie oceny
wydajności wymienić moŜna:
•
Na etapie projektowania programu:
o
brak odpowiedniej koordynacji prac nad utworzeniem e-administracji na
federalnym, regionalnym oraz lokalnym poziomie zarządzania, brak jednolitej
koncepcji i programu;
o
przygotowywanie projektu e-administracji w warunkach braku lub poza
ramami strategii ogólnych (planu, programu) społecznego oraz gospodarczego
rozwoju kraju oraz digitalizacja społeczeństwa, które z kolei powinny
przewidywać
niezbędne
przekształcenia
relacji
między
podmiotami
publicznymi a społeczeństwem;
o
niezgodność funkcjonalności lub logiki dostarczania informacji oraz innych
nowych usług elektronicznych z istniejącymi strukturami administracyjnymi
oraz algorytmami podejmowania decyzji;
o
niewystarczającą ocenę „nierówności cyfrowej” występującej w kraju,
stanowiącą jeden z najwaŜniejszych warunków produktywności programu e-
administracji;
o
brak wyraźnej definicji projektu w kontekście celów, zadań, czasu, ustaleń
oraz niezbędnych środków finansowych (brak podejścia zorientowanego na
problem), jak równieŜ brak wskaźników wydajności (produktywności)
nakładów finansowych;
o
brak powszechnie akceptowanych standardów dotyczących przechowywania
oraz dostarczania danych podczas organizowania wymiany informacji
pomiędzy organami państwa, oraz organów publicznych z organizacjami
komercyjnymi oraz publicznymi;
o
niewystarczające rozporządzenia normatywne oraz prawne w sferze wymiany
informacji na poziomie organów państwowych oraz instytucji samorządu
lokalnego, jak równieŜ w sferze wymiany informacji organów państwa z
obywatelami i sektorem publicznym.
•
Na etapie planowania wydatków publicznych:
o
niewystarczającą ocenę wydatków na finansowanie projektu
oraz
moŜliwości
państwa
dotyczących
przydzielenia
niezbędnych ilości środków finansowych;
o
istniejący system finansowania oraz kultura organizacji państwa
nie pozwala na utworzenie skutecznego systemu inwestycji,
włączającego fundusze publiczne, do złoŜonych projektów
digitalizacji;
o
system priorytetów dla promocji projektu w warunkach
ograniczonego
finansowania,
który
jeszcze
nie
został
utworzony;
o
klasyfikacja budŜetowa jest niedostatecznie szczegółowo
opisana, aby zapewnić przejrzystość planowania wydatków
oraz ich późniejszej kontroli;
18
Rozdział 4 opisuje temat „Kontrola programów i projektów” w sposób bardziej szczegółowy
32
o
przydział środków w budŜetach federalnych na następny rok
podatkowy jest przeprowadzony bez uwzględnienia osiągnięcia
celów działań programowych, co prowadzi do akumulacji
niezrealizowanych programów oraz etapów, inwestycji w sprzęt
oraz w ogólne oprogramowanie bez opracowania specjalnych
zadań usług końcowych;
o
niespójność harmonogramu przyznawania środków z róŜnych
ź
ródeł (budŜet państwa, zagraniczne poŜyczki i kredyty, środki
z funduszy niepaństwowych itd.)
•
Podczas realizacji programu:
o
system zarządzania programem nie pozwala na właściwą
reakcję na szybko zmieniające się czynniki i nowe ryzyka
(finansowe, technologiczne, społeczne oraz inne);
o
wysoki stopień bezczynności nowoczesnej biurokracji oraz, w
rezultacie, opór w stosunku do zmian;
o
wskaźniki oceny przebiegu realizacji programu (fazy, etapy);
tworzenie
podsystemów
nie
występuje
lub
jest
w
niewystarczającym stopniu zaawansowane;
o
dysproporcje
czasowe
w
dostarczaniu
prawnych,
organizacyjnych
i
technicznych
rozwiązań
elementów
programu;
o
powolna zmiana stereotypów społecznego oraz politycznego
zachowania
ludności,
rozczarowanie
tempem
realizacji
programu oraz spodziewaną uŜytecznością dla sektora biznesu
oraz ludności, brak zaufania do działań mających na celu
zabezpieczenie bezpieczeństwa danych;
o
nie istnieją standardowe formy raportów dotyczących
organizacji wymiany informacji organów administracji,
organizacji komercyjnych oraz publicznych;
o
niespójność rozwoju programu e-administracja z systemami
informatycznymi
organów
państwowych,
programu
e-
administracja oraz z innymi elementami "społeczeństwa
informacyjnego", które wykraczają poza relacje urząd-inny
podmiot
(np.
przedsiębiorca-przedsiębiorca,
obywatel-
obywatel).
•
Na etapie oceny wydajności realizacji programu
o
cele oraz parametry programu nie zostały osiągnięte;
o
wydatki poniesione na program przewyŜszyły wydatki
planowane;
o
koszt wprowadzenia oraz dalszego działania jest nie od
przyjęcia zarówno dla państwa jak i sektora biznesu oraz
obywateli;
o
realizacja programu nie spowodowała zwiększenia roli państwa
w światowej wspólnocie elektronicznej.
33
3.5 Uwagi ko
ń
cowe
Rozmiar programów e-administracji, ilość przedmiotowych projektów oraz róŜnych faz,
takich jak planowanie i rozwój, wprowadzenie oraz bieŜące prowadzenie usług e-
administracji niesie ze sobą róŜne ryzyka, spośród których tylko niektóre zostały opisane w
niniejszym raporcie. DuŜa zaleŜność agencji oraz ich klientów od IT oraz ich słabość stanowi
ogromne wyzwanie dla publicznej odpowiedzialności. Z tego względu twórcy polityk oraz
kierownicy muszą skupić swoją uwagę na moŜliwie najwcześniejszym minimalizowaniu
napotkanych ryzyk w celu zapobieŜenia potencjalnej szkodzie, której rozmiary, choć
nieznane, są jednak znaczące.
4. KONTROLA PROGRAMÓW I PROJEKTÓW
4.1 Wst
ę
p
E-administracja jest nową dziedziną i trudno jest nam wyobrazić sobie, Ŝe moŜemy
przeprowadzić kontrolę np. portalu rządowego przy zastosowaniu jedynie metod tradycyjnych
(łącznie z metodami kontroli IT). Stąd potrzebne nam są nowe metody kontroli oprócz tych
juŜ istniejących. Za pomocą tych nowych metod będziemy w stanie określić postęp
administracji we wdraŜaniu programów oraz projektów e-administracji (patrz przykład Rosji
w Załączniku 2 przy końcu tego rozdziału). Nowe metody powinny wyraźnie uwzględnić
aspekt IT, poniewaŜ programy e-administracji w duŜej mierze są zaleŜne od IT. Mimo, Ŝe e-
administracja jako taka jest nowym zjawiskiem, nie moŜna tego samego powiedzieć o IT oraz
kontroli IT. Z uwagi na to, musimy w duŜym stopniu polegać na naszym obecnym
doświadczeniu. JednakŜe, jak zostało wskazane w sekcji 2.5 („Czym szczególnym wyróŜnia
się e-administracja?”) e-administracja posiada kilka specyficznych cech. Z tego powodu nowe
metody mogą być potrzebne, aby sprawiedliwie ocenić te cechy.
Aby mogła być skuteczna, kontrola programu powinna przede wszystkim dotyczyć
wczesnych etapów programu, obejmując kwestie kontroli jeszcze w fazie projektowania lub
wdraŜania programu. Kontrola po zakończeniu programu nie moŜe być bardzo skuteczna,
poniewaŜ w tym momencie jest zbyt późno na podjęcie działań ukierunkowanych na
usprawnienie kontroli programu, który jest nią objęty.
W rozdziale tym, pod pojęciem „program” rozumiemy program składający się z wewnątrz
powiązanych projektów (łącznie z projektami IT), ukierunkowany na osiągnięcie celów
pośrednich lub celu ostatecznego, jakim jest przejście do e-administracji, na przykład
program państwowy federalny/regionalny. W tym sensie moŜemy równieŜ uznać projekt za
„koszyk” projektu IT i innych projektów. Projekt w tym koszyku jest rozumiany jako jeden z
oddzielnych projektów w koszyku (IT lub innych).
4.2. Ramy konceptualne
4.2.1 Podstawowe kategorie kontrolowanych obiektów
34
Kontrole e-administracji mogą się koncentrować na jednym lub większej liczbie z trzech
następujących typów obiektów, odpowiadających trzem poziomom kontroli:
•
program jako zbiór („koszyk”) projektów (łącznie z projektami IT), ukierunkowany
na cele pośrednie i końcowe;
•
projekt (IT) jako projekt oddzielny, albo jako projekt w ramach programu
(„projektu”);
•
system informacyjny („IS”) lub zasoby informacyjne („IR”) utworzone lub stosowane
w interesie e-administracji („IS/IR”)
Kwestiami kontroli na tych trzech poziomach kontroli są:
•
poziom strategiczny: wydajność, z którą wykonywanie programów jest organizowane,
planowane, kierowane i kontrolowane;
•
poziom operacyjny; realizowanie projektów;
•
poziom stosowania: stosowanie istniejących lub nowo utworzonych systemów
informacyjnych oraz zasobów informacji.
Celem niniejszego rozdziału jest strategiczny poziom kontroli podczas przejścia do e-
administracji oraz jej dalszego rozwoju.
4.2.2 Ogólne typy kontroli
W standardowej klasyfikacji wyróŜnione są następujące typy kontroli:
•
kontrola finansowa tj. kontrola:
o
inwestycji i wydatków;
o
księgowania funduszy;
o
organizacji kontroli wewnętrznej i raportowania, wydajności wydatków.
•
kontrola IT: kontrola zarządzania IT;
•
kontrola wykonania zadań, tj. ocena:
o
systemów kontroli jakości;
o
wydajności i skuteczności;
o
wydajności procesu podejmowania decyzji;
o
jakości usługi;
o
polityki dotycząca obsady etatów; umiejętności oraz wiedzy
członków personelu.
Rysunek 1 - Typy oraz metody kontroli ogólnej
METODY KONTROLI
35
W przypadku kaŜdego typu kontroli moŜemy częściowo polegać na dotychczasowych
metodach oraz technikach kontroli. W sytuacjach, kiedy są one stosowane w odniesieniu do
kwestii e-administracji, muszą one zostać uzupełnione przez nowe podejścia.
4.2.3 Perspektywa czasowa
Zgodnie z przyjętą międzynarodową praktyką instytucji wykonujących kontrolę finansową
zdefiniować moŜna trzy ramy czasowe dla kontroli finansowej:
•
przedwdroŜeniowa: kontrola podczas procesu podejmowania decyzji dotyczącej
polityki budŜetu oraz innych projektów prawnych lub dotycząca innych obszarów
kontroli finansowej;
•
równoczesna: kontrola dodatkowych kwestii dotyczących realizacji budŜetu, które
mogą się zrodzić podczas realizacji programów i projektów,
•
powdroŜeniowa: zatwierdzenie raportów o rozliczalności dotyczących realizacji
budŜetu oraz wpływu (lub „wyniku”) programów oraz projektów.
KONTROLA
WYKONANIA
ZADAŃ
KONTROLA
IT
KONTROLA
FINANSOWA
KONTROLA IT
Metody kontroli:
•
Kontrola
systemów
informacyjnych
•
Kontrola zasobów
informacji
•
Kontrola
bezpieczeństwa
informacji
•
inne
KONTROLA WYKONANIA
ZADAŃ
Metody kontroli:
•
Zbadanie ram
normatywnych oraz
prawnych
•
Kontrola systemów
jakości
•
Kontrola wydajności
projektu oraz
rezultatów projektu
•
inne
KONTROLA
FINANSOWA
Metody kontroli:
•
Kontrola finansowa
organizacji
komercyjnych
•
Kontrola finansowa
organizacji
budŜetowych
•
Kontrola finansowa
w środowisku IT
•
inne
36
4.3 Metody kontroli
4.3.1 Stosowalność istniejących typów kontroli dla obszaru e-administracji
Ten trójwymiarowy obraz opisany w poprzednich sekcjach tworzy przestrzeń kontroli (rys.2),
w której kaŜdy element odpowiada grupie metod: M(i,j,k). W tej funkcji litery "i", "j" oraz
"k" reprezentują odpowiednio zmienne "obiektów kontroli", "typów kontroli" oraz
„perspektywy czasowej” (rys. 3)
Rysunek 2 - Obszar kontroli e-administracji
Legenda:
Financial audit – kontrola finansowa
IT audit – kontrola IT
Performance audit – kontrola wykonania zadań
Pre-implementation – przedwdroŜeniowa
Concurrent - równoczesna
Post-implementation - powdroŜeniowa
Program - program
37
(IT) project – projekt (IT)
IS/IR - IS/IR
(Strategic level) – poziom strategiczny
(Operational level) – poziom operacyjny
(Application level) – poziom stosowania
Rysunek 3 – Grupa metod kontroli e-administracji
Rysunek 4 ukazuje odpowiedniość róŜnych grup metod przejścia kontroli do e-administracji
Rysunek 4 – Stosowalność istniejących metod kontroli podczas przejścia do e-
administracji
Grupa metod
kontroli e-
administracji
M (i,j ,k)
Obiekty kontroli
Typy kontroli
Metoda
kontroli
Perspektywa czasowa
38
Typy kontroli
Obiekty kontroli
Perspektywa
czasowa
Kontrola
finansowa
Kontrola IT
Kontrola
wykonania
zadań
PrzedwdroŜeniowa tak
NaleŜy
opracować
nowe metody
tak
Równoczesna
tak
NaleŜy
opracować
nowe metody
tak
Program
PowdroŜeniowa
tak
NaleŜy
opracować
nowe metody
NaleŜy
opracować
nowe metody
PrzedwdroŜeniowa tak
tak
tak
Równoczesna
tak
tak
tak
Projekt (IT)
PowdroŜeniowa
tak
NaleŜy
opracować
nowe metody
NaleŜy
opracować
nowe metody
PrzedwdroŜeniowa tak
tak
NaleŜy
opracować
nowe metody
Jednoczesna
tak
tak
tak
IS/IR
PowdroŜeniowa
tak
tak
tak
Analizując w sposób bardziej szczegółowy stosowalność metod, naleŜy rozpatrzyć je w
perspektywie cyklu Ŝyciowego.
Na przykład na strategicznym poziomie kontroli rozpoznajemy następujące etapy cyklu Ŝycia
(patrz równieŜ rysunek 5).
•
etap
planowania
strategicznego
(I):
podejmowanie
decyzji
politycznych;
opracowywanie programu wraz z definicją celów, wymogów, zadań oraz kryteriów
projektu dla wykonalnego programu;
•
etap projektowania (II): utworzenie organu zarządzającego projektem (opracowanie
dokumentacji konkursowej oraz realizacja konkursu w celu wybrania podmiotu
odpowiedzialnego za rzeczony program);utworzenie ram normatywnych i prawnych;
rozkład celów oraz zadań programu; utworzenie koszyka programów oraz budŜetu
programu itd.;
•
etap realizacji (III): opracowanie technicznej oraz ekonomicznej podstawy projektu;
dokumentacja konkursowa odnosząca się do projektów programu; organizacja
konkursów i zawieranie kontraktów odnoszących się do projektów; utworzenie
portfela inwestycyjnego oraz finansowanie projektów; kontrola etapów i rezultatów
projektu, finalizacja /przerwanie/rozpoczęcie projektów programu; aktualizacja
programu itd.;
•
etap końcowy (IV): Ocena rezultatów programu; ocena księgowania oraz jakości
raportowania; pomiar wydajności programu, itd.
39
Rysunek 5 - Kwestie kontroli na róŜnych etapach cyklu Ŝycia.
Etapy „cyklu Ŝycia” programu docelowego
Legenda:
stages of „life cycle of target program” – etapy „cyklu Ŝycia” programu docelowego
Formation of normative legal base – utworzenie podstawy normatywnej i prawnej
Planning of program – planowanie programu
Control of quality management – kontrola zarządzania jakością
Project 1- projekt 1
Project 2- projekt 2
Project n – projekt n
Works on transition to e-government- prace nad przejściem do e-administracji
I stage strategic planing- etap I – planowanie strategiczne
II stage design – etap II – projektowanie
III stage realization – etap III - realizacja
IV stage final – etap IV – zakończenie
Audit types –typy kontroli
Expertise of normative legal base – znajomość podstawy normatywnej i prawnej
Performance audit – kontrola wykonania zadań
Financial audit – kontrola finansowa
IT audit – kontrola IT
40
Rysunek 5 ukazuje jak róŜne typy kontroli (kontrola finansowa, kontrola IT oraz kontrola
wydajności) mogą zostać zastosowane na róŜnych etapach cyklu Ŝycia programu docelowego.
Odpowiednie metody, które mają zostać zastosowane na róŜnych etapach cyklu Ŝycia zostały
przedstawione w następnej tabelce.
Rysunek 6 - Metody kontroli odpowiednie na róŜnych etapach programu
Etapy
cyklu
Ŝ
ycia
Metody kontroli
1 Przegląd programu z perspektywy normatywnej (prawnej)
2 Ocena prognoz wyników
(I)
Planowanie
strategiczne
3 Kontrola koncepcji programu
4 Przegląd zaproszenia do przetargu w celu wyboru podmiotu
odpowiedzialnego
5 Kontrola systemu kontroli jakości stosowanego przez podmiot
odpowiedzialny
6 Przegląd projektów z perspektywy normatywnej (prawnej)
(II)
Projektowanie
7 Kontrola budŜetu podmiotu odpowiedzialnego
8 Kontrola finansowa własnego systemu budŜetowego podmiotu
odpowiedzialnego
9 Kontrola finansowa wydatków na realizację programu
10 Przegląd zaproszenia do przetargu dla wyboru wykonawców projektu
11 Kontrola organizacji oraz realizacja procesu przetargu
12 Kontrola systemu logistycznego programu
13 Kontrola wykonania zadań
14 Kontrola ryzyk programu
(III)
Realizacja
15 Kontrola systemów informacyjnych stosowanych przez podmiot
odpowiedzialny
16 Kontrola finansowa własnego systemu budŜetowego podmiotu
odpowiedzialnego
17 Kontrola finansowa wydatków na realizację programu
(IV)
Zakończenie
18 Kontrola wykonania zadań
Rysunek 6 dostarcza informacji na temat stosowności metod kontroli na róŜnych etapach
cyklu Ŝycia programu docelowego, w oparciu o doświadczenie w przeprowadzaniu kontroli
Izby Obrachunkowej Federacji Rosyjskiej
Metody przedstawione w tabeli zostaną objaśnione w następnej sekcji.
4.3.2 Wyjaśnienie metod
Oto wyjaśnienie metod przedstawionych na rysunku 6.
(1) Przegląd programu z perspektywy normatywnej (prawnej)
41
Dokonać przeglądu programów z perspektywy normatywnej (prawnej) odnośnie
podejmowania decyzji politycznych dotyczących:
•
konieczności przejścia do e-administracji,
•
form, celów oraz zadań e-administracji,
•
konieczności reorganizacji zarządzania publicznego,
•
przydziału środków budŜetowych oraz harmonogramu celów.
(2) Ocena prognoz wyników
•
sprawdzić czy sporządzono prognozy i czy zostały określone w kontekście
rozwoju społecznego i gospodarczego,
•
sprawdzić czy prognozy te są oparte o prawidłowe i wydajne metody oraz
procedury
(3) Kontrola koncepcji programowej
•
określić czy cele oraz zadania programu są zgodne z celami strategicznymi oraz
zadaniami w odniesieniu do rozwoju społeczno - gospodarczego kraju,
•
sprawdzić czy zostały określone prawidłowe i mierzalne kryteria dla pomiaru
rezultatów pośrednich i końcowych programu.
(4) Przegląd zaproszenia do przetargu dla wyboru podmiotu odpowiedzialnego
Zbadać:
•
zgodność zaproszenia do składania ofert z istniejącym ustawodawstwem,
•
spełnienie warunków zadań dla konkursu,
•
wyniki konkursu.
(5) Kontrola systemu kontroli jakości stosowanego przez podmiot odpowiedzialny
•
sprawdzić czy podmiot odpowiedzialny ustanowił system kontroli jakości (jeśli jest to
konieczne),
•
ocenić czy system kontroli jakości jest odpowiedni dla zadania zarządzania oraz
koordynowania działań programowych,
•
sprawdzić czy program będzie zarządzany przez odpowiedni organ,
•
sprawdzić czy podmiot odpowiedzialny odpowiada wymogom systemu kontroli
jakości.
(6) Przegląd projektów z perspektywy normatywnej (prawnej)
Dokonać analizy ram prawnych, które dotyczą podmiotu odpowiedzialnego w odniesieniu do
aspektów takich jak:
•
zgodność z celami oraz zadaniami programu,
•
zasadność kalkulacji kosztów,
•
zasadność planowania projektu ( daty zakończenia oraz ustawienie w kolejności),
•
zasadność zakończenia poszczególnych projektów,
42
•
specyfikacja lub zmiana celów oraz zadań projektów.
(7) Kontrola budŜetu podmiotu odpowiedzialnego
•
dokonać kontroli prawidłowości finansowej podmiotu odpowiedzialnego.
(8,16) Kontrola finansowa własnego systemu budŜetowego podmiotu odpowiedzialnego
•
zbadać wydatki podmiotu odpowiedzialnego w trakcie realizacji programu,
•
zbadać dokumenty finansowe oraz inne dotyczące sprawozdań statutowych.
(9,17) Kontrola finansowa wydatków na realizację programu
Dokonać kontroli wydatków podmiotu odpowiedzialnego w odniesieniu do:
•
zarządzania programem,
•
przygotowywania, organizowania oraz realizowania sytuacji konkurencyjnej dla
projektów naleŜących do programu,
•
realizacji scentralizowanych zakupów sprzętu oraz oprogramowania dla
uczestników programu,
•
prawidłowości, terminowości oraz uregulowania płatności,
•
poprawność, kompletności oraz terminowości raportów finansowych oraz innych
sprawozdań statutowych oraz dokumentów księgowych.
(10) Przegląd zaproszeń do składania ofert w celu wyboru wykonawców projektu
•
zweryfikować czy zaproszenie do składania ofert dla projektów programu odpowiada
wymogom istniejącego prawodawstwa,
•
zweryfikować czy warunki dotyczące konkursu zostały spełnione,
•
zbadać wyniki przetargu oraz wybór wykonawców, którzy będą realizować projekty
programowe.
(11) Kontrola organizacji i realizacji procesu przetargu
•
zbadać przygotowanie oraz realizację scentralizowanych zakupów sprzętu,
oprogramowania oraz usług dla uczestników programu, dokonywanych przez
podmiot odpowiedzialny lub upowaŜniony,
•
zweryfikować prawidłowość, terminowość oraz regulację płatności za zakupy,
•
zweryfikować czy nabyty sprzęt, oprogramowanie oraz usługi odpowiadają
ustanowionym wymogom jakości oraz wymogom technicznym.
(12) Kontrola systemu logistycznego
Sprawdzić jak:
•
są zorganizowane zakupy, przechowywanie oraz dostawa centralnie nabytego sprzętu
oraz oprogramowania dla uczestników programu,
•
jest zorganizowane utworzenie oraz prezentacja projektu, dokumentacji księgowej i
finansowej przez uczestników programu.
(13, 18) Kontrola wykonania zadań
43
Ocenić rezultaty realizacji programu z punktu widzenia:
•
terminowego oraz całkowitego osiągnięcia ustalonych celów,
•
wydajności zarządzania projektem,
•
wydajności stosowania środków przedzielonych dla programu.
(14) Kontrola ryzyk programu
Problemy te zostały rozpatrzone w rozdziale 3.
(15) Kontrola systemów informacyjnych stosowanych przez podmiot odpowiedzialny
•
Ocenić stopień, w jakim róŜne aspekty jakości systemów informacyjnych
stosowanych przez podmiot odpowiedzialny odpowiadają ustanowionym normom,
standardom oraz wymogom. Obejmuje to analizę ryzyka oraz przegląd systemów
korporacyjnych stosowanych przez uczestników programu.
4.4 Mapa ram CobiT
Wszystkie metody kontroli poziomów strategicznych, operacyjnych oraz stosowania,
określone w danym rozdziale, mogą być odwzorowane w ramach CobiT
19
, w następujący
sposób:
Rys. 7 Plan trzech obiektów kontroli/ poziomów kontroli procesów CobiT.
Domena CobiT Kod
domeny
CobiT
Proces
Program
(Strategiczny)
Projekt
(Operacyjny)
IS/IR
(Stosowanie)
PO1
Określenie planu strategicznego
IT
X
PO2
Określenie
architektury
informacyjnej
X
X
PO3
Określenie
kierunku
technologicznego
X
X
PO4
Określenie
organizacji
oraz
relacji IT
X
PO5
Zarządzanie inwestycją IT
X
X
X
PO6
Komunikowanie
celów
zarządzania i kierunków
X
X
PO7
Zarządzanie zasobami ludzkimi
X
PO8
Zapewnienie
zgodności
z
wymogami zewnętrznymi
X
X
Planowanie
i
Organizacja
PO9
Ocena ryzyka
X
X
X
19
CobiT - Cele Kontrolne Technologii Informatycznych i Technologii Pokrewnych
44
Domena CobiT Kod
domeny
CobiT
Proces
Program
(Strategiczny)
Projekt
(Operacyjny)
IS/IR
(Stosowanie)
PO10
Zarządzanie projektami
X
PO11
Zarządzanie jakością
X
AI1
Zidentyfikować
zautomatyzowane rozwiązania
X
AI2
Nabyć
i
utrzymywać
oprogramowanie aplikacji
X
AI3
Nabyć
i
utrzymywać
infrastrukturę technologiczną
X
AI4
Opracować
i
utrzymywać
procedury
X
AI5
Zainstalować i uznać systemy
X
Nabywanie
i
WdraŜanie
AI6
Zarządzać zmianami
X
DS1
Zdefiniować
oraz
zarządzać
poziomami usług
X
DS2
Zarządzać usługami dla stron
trzecich
X
DS3
Zarządzać wykonaniem oraz
wydajnością
X
DS4
Zapewnić ciągłość usług
X
DS5
Zapewnić
bezpieczeństwo
systemów
X
DS6
Zidentyfikować i przydzielić
koszty
X
DS7
Kształcić
i
szkolić
uŜytkowników
X
DS8
Pomagać i doradzać klientom
X
DS9
Zarządzać konfiguracją
X
DS10
Zarządzać
programami
i
zdarzeniami
X
DS11
Zarządzać danymi
X
DS12
Zarządzać urządzeniami
X
Dostarczanie i
wsparcie
DS13
Zarządzać operacjami
X
M1
Monitorować procesy
X
X
X
M2
Ocenić odpowiedniość kontroli
wewnętrznej
X
X
M3
Uzyskać niezaleŜną gwarancję
X
X
Monitorowanie
M4
Zapewnić niezaleŜną kontrolę
X
X
Tabela ta odzwierciedla naszą ideę, zgodnie z którą kontrola projektów oraz programów e-
administracji nie powinna być ograniczona przez jakikolwiek standard funkcyjny i nie moŜe
być ograniczona do kilku domen lub standardowych procesów CobiT takich jak PO10
(Zarządzanie projektem) oraz PO11 (Zarządzanie jakością)
4.5. Uwagi ko
ń
cowe
Chcielibyśmy podkreślić, Ŝe klasyfikacja typów kontroli na poszczególne kategorie (patrz
sekcja 4.2.2) została dokonana dla celów przejrzystości koncepcji. W rzeczywistej praktyce
45
kontrola programów oraz projektów zazwyczaj łączy w sobie podejścia do kontroli
finansowej, IT oraz/lub kontroli wykonania zadań w konkretnym programie lub projekcie.
Kontrola istotnych aspektów programów i projektów podczas przejścia do e-administracji,
oraz warunków dla e-administracji nie jest moŜliwa bez stosowania nowych metod. Metody
te powinny zostać utworzone, poniewaŜ działania związane z e-administracją rozwijają się
wraz z upływem czasu.
Te nowe metody powinny obejmować tematy takie jak:
•
jakość systemów księgowania organizacji, które są odpowiedzialne za organizowanie i
realizację programów e-administracji;
•
zgodność projektów ze standardami funkcjonalnymi takimi jak zarządzanie
inwestycjami (ISO/IEC 15288:CD2);
•
zgodność ze standardami dla wdraŜania oraz stosowania IT (CobiT);
•
istnienie certyfikowanych systemów kontroli jakości na kaŜdym etapie realizacji
projektu.
Co istotne, naleŜy równieŜ zauwaŜyć, Ŝe najlepsze podejście do kontroli moŜe róŜnić się w
zaleŜności od kraju, poniewaŜ mogą występować znaczne róŜnice w sieci stron
zaangaŜowanych w program e-administracji oraz w ustalenie ról przypisanych do róŜnych
partnerów. Na przykład, budowa systemu moŜe, lecz nie musi być zlecona na zewnątrz.
ZAŁ
Ą
CZNIK 2
46
Doświadczenie Rosji w tworzeniu e-administracji
(Federalny program docelowy „Elektroniczna Rosja na lata 2002-2010”)
Zewnętrzny (publiczny)
zarys e-administracji
(elektroniczny zarys
systemu dostarczania
usług państwowych)
NiezaleŜny dostęp
Dostęp przez pośrednika
Sieci otwarte (otwarta
przestrzeń
komunikacyjna)
Technologiczna infrastruktura dostępu obywateli do
e-administracji
Interfejsy e-
administracji
Portal rządu
Portale oraz strony federalnych oraz regionalnych organów państwowych
Infrastruktura e-demokracji
(wsparcie procedur demokracji)
Infrastruktura wsparcia sektora
biznesu oraz interakcje ekonomiczne
Infrastruktura wsparcia procesów
administracji publicznej
Infrastruktura utworzenia oraz
przedstawienia państwowych
zasobów informacji oraz
„elektronicznych” usług
państwowych
Infrastruktura wsparcia interakcji z
obcymi rządami oraz organizacjami
międzynarodowymi
Infrastruktura połączenia
Zasoby informacyjne państwa
System centrów
danych
Państwowy korporacyjny
system informacji
Portale
intranetowe
System zapewniania bezpieczeństwa
informacji obywateli oraz państwa
System zarządzania pracownikami państwa
System elektronicznych rozporządzeń
administracyjnych i organizacyjnych
System informacyjnego monitorowania,
analiz, oceny (systemy wspierania decyzji)
Państwowa sieć informacyjno-
komunikacyjna (zamknięta
przestrzeń komunikacyjna)
Infrastruktura wsparcia transakcji
finansowych państwa
System wsparcia informacji procedur
kontroli w zarządzaniu państwem
Wewnętrzny
(usługowy) zarys
e-administracji
System zarządzania projektem e-
administracji
System obiegu informacji elektronicznych
organów państwowych
Warunek polityczny
System dostarczenia projektu e-administracji
Warunek
technologiczny
Warunek prawny
Warunek organizacyjny
Warunek finansowy
Warunek dot. personelu
47
5.
KONTROLA
FINANSOWA
W
ŚRODOWISKU
CYFROWYM
(SKOMPUTERYZOWANYM)
5.1. Wst
ę
p
Celem tej sekcji jest skupienie uwagi na kontroli finansowej oraz przedstawienie ram
odniesienia dla ogólnych wymogów dotyczących kontroli w środowiskach cyfrowych, jeŜeli
chodzi o cel, treść oraz zakres.
Prezentacja ta jest w duŜej mierze oparta o doświadczenie związane z e- zamówieniami
publicznymi. E-zamówienia publiczne stanowią dalszy etap rozwoju e-administracji,
porównaj sekcja 2.6 (Aspekty rozwojowe). JednakŜe, naleŜy uznać, Ŝe e-administracja jest
obszarem otwartym i Ŝe moŜna by wybrać wiele tematów celem ukazania jej rozwoju. Z
uwagi na fakt, Ŝe grupa docelowa przede wszystkim składa się z osób tworzących politykę,
poświęcono uwagę opisowi głównych punktów dotyczących kontroli środowisk cyfrowych.
Digitalizacja funkcji administracyjnych i zamówień organów sektora publicznego zapewnia
wiele korzyści, na przykład dotyczących tworzenia nowych oraz bardziej wydajnych procedur
roboczych, jak równieŜ moŜliwość komunikowania się i współpracowania na wiele
sposobów. Tradycyjne procedury funkcjonujące przy zastosowaniu form papierowych mogą
stać się bardziej wydajne, poprawione lub teŜ moŜna się bez nich całkowicie obyć, kiedy dane
oraz komunikacja z uŜyciem danych staje się elektroniczna. Jako takie, uwolnione środki
mogą zostać przeniesione z administracji do usług.
JednakŜe, digitalizacja daje nie tylko korzyści. Czynnik ryzyka zmienia się radykalnie wraz z
rozwojem technicznym, na przykład, kiedy tradycyjne dokumenty papierowe są zastępowane
danymi cyfrowymi, które w łatwy sposób mogą zostać skradzione (skopiowane), zmienione
lub usunięte – mogą zniknąć w ciągu jednej chwili bez śladu oraz kontaktu fizycznego. W
przyszłości, bezpieczeństwo towarzyszące systemom cyfrowym otrzyma wysoki priorytet we
wszystkich obszarach społeczeństwa. W sekcji 3.3 omówione zostały ryzyka związane z
prowadzeniem usług e-administracji.
5.2
Ś
rodowiska cyfrowe
5.2.1 Cechy
IT stanowi podstawę dla wiedzy podmiotu publicznego, informacji oraz zarządzania i jest
stosowane w coraz większym stopniu w procedurach zawodowych i administracyjnych.
Jednocześnie, stosowanie IT nabrało coraz większego znaczenia strategicznego i stało się
decydujące dla realizacji misji oraz wizji podmiotu publicznego. Z tego względu, wydajne
oraz bezpieczne środowisko IT jest istotne dla codziennej działalności podmiotu publicznego.
W systemach skomputeryzowanych (cyfrowych) dane podmiotu publicznego nie istnieją w
formie tradycyjnych dokumentów papierowych, lecz jedynie w formacie elektronicznym lub
cyfrowym.
48
Dokumenty cyfrowe nie tylko zawierają dokumenty, które pochodzą z nośników papierowych
(np. listów) i które w późniejszym okresie zostały zapisane w postaci cyfrowej, lecz równieŜ
dokumenty, które istnieją i są stosowane jedynie w formie cyfrowej podczas ich całej
„długości Ŝycia”.
Wprowadzenie systemów cyfrowych (skomputeryzowanych) oraz połączenie systemów
wewnętrznych z Internetem, na przykład w połączeniu z elektronicznymi zamówieniami
publicznymi, zwiększa zaleŜność od IT oraz wymogi dotyczące dostępności oraz
bezpieczeństwa zasobów IT.
W sytuacji, kiedy dokumenty papierowe nie są juŜ dłuŜej stosowane i kiedy zostały
zastąpione dokumentami elektronicznymi (danymi) jako jedyną formą dokumentacji dla
transakcji podmiotu publicznego, nakłada to zasadnicze wymogi na środowisko kontroli
podmiotu publicznego, zgodnie z którymi dokumenty elektroniczne muszą posiadać tę samą
wartość dowodową, co dokumenty papierowe.
W zasadzie, ustanowiona praktyka prawna oraz metodologia istnieje obecnie po to, aby
moŜna było ocenić wartość dowodową dokumentów papierowych. JednakŜe, nie istnieje
równowaŜna praktyka dla dokumentów cyfrowych, co oznacza, Ŝe ich wartość dowodowa
często zaleŜy od jakości zintegrowanych kontroli w systemach cyfrowych oraz ogólnego
ś
rodowiska operacyjnego
20
.
W rezultacie, bezpieczeństwo towarzyszące systemom cyfrowym oraz przechowywaniu
danych cyfrowych musi być tak rygorystyczne, Ŝe wymogi dotyczące kontroli wewnętrznej
oraz zewnętrzne wymogi prawne dotyczące dokumentacji będą spełnione.
Wraz z przejściem od formatu papierowego do systemów cyfrowych środowisko kontroli
zmienia dalej swój charakter od przede wszystkim ręcznych do przede wszystkim wstępnie
zaprogramowanych mechanizmów opartych o komputery. Mechanizmy te muszą
funkcjonować wcześniej w odniesieniu do procedur, aby były skuteczne i miały charakter
zapobiegawczy
wobec
nieprzewidzianych
lub
systemowych
nieprawidłowości
w
automatycznych przepływach danych.
Istotne jest zapewnienie, Ŝe system, dane oraz bezpieczeństwo operacyjne, tj. zarówno
bezpieczeństwo IT w ogólności oraz bezpieczeństwo dotyczące poszczególnych systemów,
jest zadowalające i przystosowane do działań podmiotu publicznego oraz warunków
publicznych w ogólności.
5.2.2 Ryzyka środowisk cyfrowych
Nieodpowiednie środowisko kontroli moŜe umoŜliwić dostęp osób nieupowaŜnionych do
systemów oraz danych - albo poprzez Internet albo poprzez wewnętrzną stację roboczą. Z tej
przyczyny, istnieje ryzyko zmiany danych, skopiowania ich (kradzieŜy) lub usunięcia bez
moŜliwości ustalenia, kiedy zmiany te miały miejsce i kto je wprowadził.
Dostęp osób nieupowaŜnionych moŜe torować drogę do naduŜyć IT. Przykłady tego typu
obejmują próby zmiany danych księgowych, utworzenia oraz przekazywania funduszy do
20
„Auditing Paperless Systems, An internal guide to auditing electronic forms, imaging and messaging
systems”, The United Kingdom National Audit Office, April 1998.
49
fikcyjnych dostawców, klientów lub pracowników, usunięcia sfałszowanych transakcji,
kradzieŜy programów oraz danych, jak równieŜ hakerstwa, sabotaŜu, itd. MoŜe to prowadzić
do znaczących szkód dla danych podmiotu publicznego – zarówno danych gospodarczych jak
i operacyjnych – oraz w określonych przypadkach stanowić moŜe potencjalne zagroŜenie dla
zdolności operacyjnej podmiotu publicznego lub jego istnienia.
5.2.3 Wyzwania dla kadry kierowniczej
W przyszłości kierownictwo podmiotu państwowego musi ocenić w duŜym stopniu czy jego
systemy cyfrowe spełniają jego strategię korporacyjną i są wdraŜane zgodnie z nią.
Podobnie, do obowiązków zarządu naleŜy zapewnienie, Ŝe systemy zawierają wystarczające
moŜliwości dotyczące śledzenia transakcji oraz kontroli (znane jako ścieŜka audytu),
wystarczające mechanizmy zapobiegawcze, wykrywające/ naprawcze (mechanizmy systemu
cyfrowego), odpowiedni podział funkcjonalny oraz, Ŝe systemy te pracują w środowisku IT,
które jest w wystarczającym stopniu bezpieczne.
Cyfrowe mechanizmy systemu muszą często zostać uruchomione wcześniej – muszą być
ukierunkowane na zapobieganie, a nie na wykrywanie/naprawianie – z racji szybkiego i
zautomatyzowanego przepływu informacji elektronicznej. WaŜne jest, Ŝe nie tylko pliki
główne (oraz poprawki do nich wprowadzane), lecz równieŜ pliki transakcji (oraz poprawki
do nich wprowadzane) są aktualizowane w sposób kontrolowany i Ŝe mechanizmy oparte o
komputery powinny być planowe i utrzymywane, poniewaŜ niedostatki w tej materii
prowadzić będą do zwiększonego ryzyka straty finansowej.
Obraz ryzyka zmienia się i staje się bardziej dynamiczny. Zarówno techniczna jak i
gospodarcza długość Ŝycia sprzętu oraz oprogramowania jest skrócona i musi być ciągle
zastępowana nowszymi wersjami. Odpowiednio, dzisiejsze systemy bezpieczeństwa IT mogą
nie być w stanie sprostać jutrzejszym wymogom dotyczącym bezpieczeństwa i w
konsekwencji muszą być zastępowane nowymi systemami bezpieczeństwa lub aktualizowane.
Z tego względu, bezpieczeństwo oraz polityka IT w przyszłości musi wypełnić stałą lukę w
programie kierownictwa podmiotu publicznego. Bezpieczeństwo IT nie będzie juŜ dłuŜej
kwestią ograniczoną do jednostek IT podmiotu publicznego.
w Ramach polityki bezpieczeństwa IT kierownictwo musi podjąć decyzję dotyczącą
poŜądanego poziomu bezpieczeństwa oraz sposobu radzenia sobie z ryzykiem. Polityka
bezpieczeństwa IT powinna obejmować zarówno zagroŜenia wewnętrzne jak i zewnętrzne
(ryzyka) skierowane przeciwko systemom oraz danym niezbędnym dla misji oraz rozwoju
podmiotu publicznego.
5.3 Kontrola
ś
rodowisk cyfrowych („skomputeryzowanych”)
5.3.1 Cel kontroli
Nadrzędnym celem kontroli finansowej jest dostarczenie kompetentnej opinii na temat jakości
rocznych ksiąg rachunkowych, które zostały przedłoŜone przez kierownictwo, aby NajwyŜsze
Organy Kontroli (NOK) były w stanie ocenić je w raporcie z kontroli. Cel kontroli nie jest
uwarunkowany przejściem podmiotu publicznego do środowiska cyfrowego.
50
5.3.2 Kontrola systemowa i materialna
Kontrola jest ustalana oraz przeprowadzana na podstawie istotności i ryzyka, w oparciu o
model ryzyka dotyczący kontroli – oraz przeprowadzana zgodnie z odpowiednimi praktykami
sektora publicznego dotyczącymi przeprowadzania kontroli. NOK musi przeprowadzać swoje
kontrole w sposób finansowo korzystny i wydajny, aby uzyskać istotny oraz wystarczający
dowód kontroli za rozsądną cenę.
Kontrola jest przygotowywana jako kontrola systemowa i połączona z kontrolą materialną w
stopniu, w jakim jest to konieczne. Kontrola musi ustanowić dowód w postaci ścieŜki kontroli
systemowej.
Kontrola systemowa obejmuje kontrolę procedur opartych o IT oraz procedur ręcznych z
uwzględnieniem ogólnych mechanizmów IT wspierających systemy uŜytkownika oparte na
IT oraz mechanizmy wewnętrzne.
Na przykład kontrola materialna moŜe stanowić kontrolę analityczną ksiąg rachunkowych,
kontrolę dowodów wpłaty/pokwitowań, przeprowadzaną moŜliwie ze wsparciem CAAT
(technik kontroli z uŜyciem komputera) – w oparciu o ocenę niezawodności wewnętrznego
podmiotu kontroli.
W sytuacji, w której procedury administracyjne oraz finansowe podmiotu publicznego są
zdigitalizowane, procedury IT podmiotu publicznego lub procedury oparte o IT nabierają
duŜego znaczenia dla planowania oraz przeprowadzania kontroli. Stąd, NOK musi zbadać czy
wewnętrzny organ zarządczy systemów uŜytkownika, itd. funkcjonuje tak skutecznie, Ŝe
rzetelność danych, niezawodność oraz kompletność są zapewnione, niezaleŜnie od tego czy,
systemy uŜytkownika funkcjonują w środowisku IT z zadowalającymi systemami,
niezawodnością danych oraz niezawodnością eksploatacyjną.
Kolejna sekcja opisuje, jak moŜe wyglądać struktura kontroli aplikacji IT.
5.3.3. Kontrola aplikacji IT
21
Badanie aplikacji IT podmiotu publicznego najlepiej podzielić na:
a. początkową ocenę aplikacji IT
b. przegląd ogólnych mechanizmów IT
c. przegląd mechanizmów w systemie uŜytkownika
d. outsourcing
a. Początkowa ocena aplikacji IT
Celem początkowej oceny NOK aplikacji IT jest utworzenie ogólnego zarysu jako podstawy
struktury kontroli oraz zebranie informacji na temat organizacji IT podmiotu publicznego,
sprzętu oraz oprogramowania, metody zarządzania, jak równieŜ waŜnych systemów
uŜytkownika oraz baz danych.
NOK przeprowadza ocenę - na podstawie istotności oraz ryzyka – znaczenia aplikacji IT oraz
tego czy podmiot publiczny, w przypadku awarii lub zmniejszenia wydajności IT jest
zagroŜony znaczącą stratą finansową, itd.
21
Audit Committee, Association of State Authorized Public Accountants, Denmark, Statements of Auditing
Standards nos. 14 (wrzesień 1995) oraz 17 (marzec 2000).
51
b. Przegląd ogólnych mechanizmów IT
Celem przeglądu NOK ogólnych mechanizmów IT jest ocena czy systemy, niezawodność
danych oraz niezawodność operacyjna są wystarczające, aby utworzyć podstawy kontroli
systemów uŜytkownika. Ogólne mechanizmy IT są to mechanizmy, które zgodnie z decyzją
kierownictwa podmiotu publicznego powinny zostać wdroŜone w środowisku IT tak, aby
zewnętrzne parametry dotyczące niezawodności systemu, danych oraz niezawodności
operacyjnej stały się dopuszczalne, zgodnie z potrzebami podmiotu publicznego.
Mechanizmy te mają róŜny charakter i mogą być to na przykład mechanizmy organizacyjne,
fizyczne, uprzednio zaprogramowane lub ręczne.
Kontrola ogólnych mechanizmów IT jest przeprowadzana głównie przy pomocy wywiadów,
oględzin oraz weryfikacji uzyskanych informacji.
Przegląd zazwyczaj obejmuje strategię oraz politykę IT, warunki organizacyjne, rozwój oraz
utrzymanie systemów, wdroŜenie operacyjne, mechanizmy dostępu, transmisję danych,
bezpieczeństwo fizyczne, plany zapasowe oraz awaryjne.
Do przeglądu zalicza się np. zbadanie czy istnieje rozdział funkcjonalny odnośnie funkcji IT,
rozwoju systemów oraz zarządzania nimi oraz tego czy istnieją wystarczające mechanizmy
dostępu.
W końcu NOK musi zbadać czy jest zachowana zgodność z odpowiednim ustawodawstwem
dotyczącym przetwarzania danych elektronicznych.
Przegląd ogólnych mechanizmów IT jest zakończony wnioskiem NOK dotyczącym ich
jakości, z uwzględnieniem stopnia w którym NOK moŜe rozwinąć te mechanizmy w trakcie
dalszych kontroli systemów uŜytkownika.
c. Przegląd mechanizmów w systemach uŜytkownika
System uŜytkownika jest rozumiany jako system – aplikacja – który zawiera kilka funkcji
systemowych, opartych o IT oraz ręcznych administracyjnych funkcji w danym obszarze.
W systemie uŜytkownika mechanizmy wewnętrzne są wcześniej zaprogramowane oraz
uzupełniane w dostatecznym stopniu mechanizmami ręcznymi.
Przegląd systemu uŜytkownika zazwyczaj obejmuje:
•
funkcje systemu,
•
stosowane zapisy,
•
przetwarzanie danych wejściowych/wyjściowych,
•
mechanizmy uprzednio zaprogramowane i ręczne,
•
ś
ledzenie transakcji i mechanizmów oraz
•
zgodność z odpowiednim ustawodawstwem dotyczącym danych.
Celem przeglądu NOK jest zbadanie czy mechanizmy wewnętrzne w systemie uŜytkownika
gwarantują kompletne, dokładne i terminowe przetwarzanie zatwierdzonych transakcji oraz
zbadanie czy te mechanizmy wewnętrzne zapobiegają błędom lub naprawdę zapewniają, Ŝe
błędy zostają odkryte i są naprawiane. W końcu, przegląd musi wyjaśnić w jakim stopniu
istnieje dokumentacja dotycząca przeprowadzanego przetwarzania danych w systemie
52
uŜytkownika oraz zapobiegawczych, wcześniej zaprogramowanych oraz ręcznych
mechanizmów.
W sytuacji, w której mechanizmy wewnętrzne w systemie uŜytkownika funkcjonują
prawidłowo, kontrola powinna je objąć w znacznym stopniu. JeŜeli mechanizmy nie
funkcjonują w sposób zadowalający, NOK musi ocenić czy cel kontroli moŜe zostać
zrealizowany w inny sposób.
JeŜeli NOK dojdzie do wniosku, Ŝe w wewnętrznych mechanizmach istnieją
niedociągnięcia lub, Ŝe istnieją rozbieŜności w księgach rachunkowych lub procedurach
księgowych, sytuacja powinna być uwzględniona w zaleceniach kontrolera oraz ewentualnie
w sprawozdaniu z kontroli.
System uŜytkownika, który zapewnia moŜliwość wysyłania, otrzymywania oraz
przetwarzania danych elektronicznie do/od partnerów komercyjnych podmiotu publicznego
zazwyczaj zawiera następujące elementy główne: program aplikacji (np. system finansowy),
metodę transmisji danych (np. połączenie modemowe typu dial-up lub połączenie poprzez
dostawcę VANS
22
), wspólny standard dla wymiany danych (np. format XML) oraz
ewentualnie oprogramowanie do konwersji (przekształcenie z formatu wspólnego dla
wymiany danych do wewnętrznego formatu zapisu).
Integracja systemu jest moŜliwa, poniewaŜ systemy są skonstruowane modułowo i posiadają
otwarte interfejsy zarówno zewnętrznie do internetu jak i wewnętrznie w podmiocie
publicznym do innych systemów oraz są w zasadzie oparte o elektroniczne zatwierdzenia
wszystkich transakcji.
Dla podmiotu publicznego, największym ryzykiem wiąŜącym się z takim systemem jest to,
czy otrzymane dane wejściowe są prawidłowe, kiedy są ładowane do aplikacji uŜytkownika i
czy dane wyjściowe przekazywane od podmiotu publicznego równieŜ są prawidłowe.
Ponadto, waŜne jest, aby podmiot publiczny zapewnił oraz zabezpieczył dokumentację
dotyczącą wysyłania/otrzymywania transakcji (niezaprzeczalność) i Ŝeby podczas transmisji
danych nie miał miejsca wpływ na treść transakcji (rzetelność).
W celu oceny, Ŝe dane wejściowe i wyjściowe są prawidłowe, waŜne jest, aby mechanizmy
systemu uŜytkownika umoŜliwiły ocenę danych przy uŜyciu dwóch mechanizmów, zwanych
Mechanizm 1 oraz 2, porównaj rysunek 8
23
22
Value Added Network Supplier (or Service) – Dostawca sieci z dodatkowymi usługami
23
„EDI in smaller business enterprises”, Danish EDI- Counsel, 1998
53
Generowanie danych
wyjściowych, ocena ich
poprawności i formatowanie
do standardu komunikacji
Sprawdzanie
poprawności i
wysyłanie
danych
Dane wejściowe
Transmisja
Mechanizm
1
Mechanizm 2
Aplikacja
uŜytkownika
Przekształcenie do formatu
zapisów wewnętrznych, ocena
poprawności oraz generowanie
danych wejściowych w
aplikacji uŜytkownika
Dane wyjściowe
Otrzymywanie i
ocena
poprawności
danych
Rysunek 8—Przepływ danych oraz mechanizmy sprawdzania poprawności
Rysunek 8 ukazuje elektroniczny przepływ danych pomiędzy podmiotem publicznym oraz
jego partnerami branŜowymi. Ponadto, ukazuje on ocenę poprawności danych otrzymanych i
wysłanych w Mechanizmie 1 oraz ocenę poprawności danych wejściowych i wyjściowych w
Mechanizmie 2.
Mechanizm 1
Mechanizm 1 jest zlokalizowany w interfejsie systemu uŜytkownika zaraz po otrzymaniu oraz
tuŜ przed wysłaniem transakcji.
Mechanizm 1 musi zapewnić, Ŝe transakcja elektroniczna będzie zgodna z następującymi
wymogami podstawowymi dotyczącymi danych:
•
Autentyczności ( autor jest naprawdę tym za kogo się podaje).
•
Rzetelności (otrzymane dane stanowią te same dane co dane wysłane).
•
Tajności (osoby nieupowaŜnione nie mają dostępu do danych)
•
Niezaprzeczalności (nadawca/odbiorca danych nie moŜe zaprzeczyć, Ŝe dane zostały
wysłane/ otrzymane).
W systemach w pełni zdigitalizowanych powyŜsze warunki są spełnione zarówno przez
nadawcę jak i odbiorcę danych.
Podmiot
publiczny
Partner
branŜowy
54
Kiedy Mechanizm 1 zapewnił, Ŝe dane wysłane/otrzymane są autentyczne – Ŝe pozostały one
poufne i nie zostały naraŜone na niebezpieczeństwo podczas transmisji danych, Ŝe dotarły one
do odbiorcy oraz nie moŜna zaprzeczyć, Ŝe zostały one wysłane bądź otrzymane - wówczas
otrzymana transakcja moŜe zostać przeniesiona do aplikacji uŜytkownika (systemu
finansowego). Etap ten, jest jednakŜe takŜe naraŜony na pewne ryzyko, któremu zapobiec ma
Mechanizm 2.
Mechanizm 2
Mechanizm 2 jest zlokalizowany bezpośrednio przed aplikacją. Mechanizm 2 przekształca i
przesyła dalej otrzymane transakcje oraz transakcje do wysłania do oraz z podstawowej
aplikacji uŜytkownika (systemu finansowego).
Mechanizm 2 musi zabezpieczyć dane wejściowe oraz wyjściowe w odniesieniu do:
•
Kompletności (np.
nie występuje przerwa w kompletności podczas
przekształcenia z zewnętrznego do wewnętrznego formatu danych, Ŝe awaria
systemu nie powoduje utraty danych lub, Ŝe zakłócenia związane z nadawcą
transakcji nie prowadzą do nieotrzymania całości transakcji. Mechanizm ręczny
powinien zapewnić, Ŝe błędne transakcje, które ewentualnie zostały zatrzymane,
zostaną w późniejszym czasie prawidłowo zarejestrowane w aplikacji).
•
Dokładności (tj. oceny poprawności otrzymanych danych transakcji dotyczących
np. numerów produktu, ilości, cen itd.). Ten sam mechanizm jest takŜe stosowany
w odniesieniu do danych transakcji przesyłanych przez podmiot publiczny).
•
WaŜność/ zatwierdzenia (np. ocena poprawności w celu zapewnienia, Ŝe tylko
transakcje odnoszące się do podmiotu publicznego są przekazywane do aplikacji
uŜytkownika. NaleŜy zapewnić, Ŝe procedura zatwierdzenia otrzymanych
transakcji zbiorowych jest przygotowana do wdroŜenia i Ŝe zatwierdzenie
przeprowadzane jest przez odpowiednio upowaŜnionych pracowników)
•
Terminowości (trwające operacyjne cykle aktualizowania muszą zagwarantować,
Ŝ
e przetwarzanie danych pobranych transakcji odbywa się odpowiednim terminie).
Warunkiem koniecznym dla wydajności kontroli systemu uŜytkownika jest wdroŜenie
praktycznych i wydajnych mechanizmów ogólnych IT.
Przeprowadzając kontrolę mechanizmów w systemach uŜytkownika, NOK powinno skupić
swoją uwagę na mechanizmach, które są ustanowione na kilku róŜnych poziomach.
Zgodnie z tym, co zostało wspomniane wyŜej, pierwszy mechanizm musi zagwarantować
autentyczność transakcji, tajność, rzetelność oraz niezaprzeczalność.
Drugi mechanizm musi zapewnić kompletność transakcji, dokładność, waŜność oraz
terminowość.
d. Outsourcing
Ze względu na fakt, Ŝe część aplikacji IT podmiotu publicznego jest zlecona na zewnątrz do
podwykonawcy, pozostanie obowiązkiem kierownictwa podmiotu publicznego zapewnienie,
55
Ŝ
e niezawodność systemu, danych oraz niezawodność operacyjna towarzysząca procesom, jak
równieŜ systemy oraz dostęp do danych są zgodne z potrzebami podmiotu publicznego.
W celu zapewnienia tych warunków musi istnieć pisemna umowa pomiędzy podmiotem
publicznym oraz podwykonawcą. Zazwyczaj taka pisemna umowa powinna zawierać jako
minimum coroczną deklarację pochodzącą od księgowego podwykonawcy dotyczącą
niezawodności systemu, danych oraz niezawodności eksploatacyjnej.
Jako część kontroli, NOK musi dokonać przeglądu kontraktu z podwykonawcą i w zasadzie
musi uzyskać pełen dostęp do zbiorowych danych dotyczących zamówień publicznych,
przechowywanych przez podwykonawcę oraz dotyczących rzeczonego podmiotu
publicznego.
5.4. Uwagi ko
ń
cowe
Pomimo, Ŝe celem nadrzędnym kontroli finansowej jest dostarczenie NOK kompetentnych
opinii odnośnie jakości dostarczonych ksiąg finansowych, kontrola jest przygotowywana jako
kontrola systemowa i połączona jest z kontrolą materialną w stopniu koniecznym.
Kontrole systemowe obejmują kontrolę procedur opartych o IT oraz procedur ręcznych,
łącznie z ogólnymi mechanizmami IT, które wspierają systemy uŜytkownika/ procedury
oparte o IT oraz mechanizmami wewnętrznymi.
Kontrola systemów cyfrowych składa się z następujących etapów: początkowa ocena
aplikacji IT, przegląd ogólnych mechanizmów IT, przegląd mechanizmów w systemie
uŜytkownika oraz ocena umowy outsourcingu, jeŜeli istnieje.
Kontrola ogólnych mechanizmów IT bada, w jakim stopniu bezpieczeństwo systemu, danych
oraz bezpieczeństwo operacyjne jest wystarczające oraz moŜe stanowić podstawę dla kontroli
systemów uŜytkownika.
Kontrola mechanizmów systemu uŜytkownika wskazuje czy istnieją odpowiednie
mechanizmy, ustanowione w celu zapewnienia autentyczności transakcji, tajności, rzetelności
oraz niezaprzeczalności, jak równieŜ jej kompletności, dokładności, waŜności oraz
terminowości.
6. KONSEKWENCJE ORGANIZACYJNE
6.1 Wst
ę
p
Digitalizacja procedur pracy w instytucjach publicznych nakłada podobne wymogi na
poszczególne NOK, dotyczące podjęcia przez nie strategicznych inicjatyw w tej dziedzinie.
Celem tych inicjatyw musi być przejście NOK do procedur cyfrowych oraz rozwoju
proceduralnego, jak równieŜ kontynuowanie edukacji w obszarze umiejętności IT.
56
Podstawę tych inicjatyw stanowi przede wszystkim uznanie zaleŜności od IT, oraz uznanie, Ŝe
IT stanowi decydujący czynnik w realizacji misji oraz wizji NOK.
Podstawę przejścia na systemy cyfrowe NOK stanowić będzie wzajemna zaleŜność pomiędzy
strategią organizacyjną oraz strategiami IT. WaŜne jest, aby wyŜsza kadra kierownicza NOK
określiła ramy formalne dla stosowania IT oraz, aby zasadnicza odpowiedzialność za
zarządzanie IT oraz stosowanie, łącznie z bezpieczeństwem spoczywała na wyŜszej kadrze
kierowniczej.
Digitalizacja NOK wymaga dostosowań w 4 waŜnych dziedzinach:
•
przejścia do procedur cyfrowych
•
metod
•
kwalifikacji
•
zasobów
6.2. Przej
ś
cie do procedur cyfrowych
NOK, podobnie jak inne instytucje publiczne, doświadcza potrzeby usprawnienia pracy przy
pomocy digitalizacji. W celu przystosowania NOK do procedur cyfrowych oraz, lepszego
przetwarzania dokumentacji elektronicznej rozwój ten będzie obejmował:
•
wzmocnienie organizacji oraz technologii IT,
•
zapewnienie, Ŝe bezpieczeństwo IT spełnia nowe wymagania, łącznie z tworzeniem
kopii zapasowych, zaporami (firewallami) itd. i Ŝe NOK moŜe sobie poradzić za
pomocą danych wewnętrznych dostępnych jedynie elektronicznie,
•
wdroŜenie polityki dla nowych procedur oraz programów towarzyszących
otrzymywaniu oraz wysyłaniu poczty elektronicznej tak, aby pracownicy stosowali,
rejestrowali oraz przetwarzali fachowo pocztę elektroniczną,
•
ustanowienia jednego lub więcej urzędowych adresów poczty elektronicznej na
poziomie kierownictwa, instytucji, departamentu oraz/lub pracownika,
•
poinformowanie pracowników organizacji o procesie transformacji do systemu
cyfrowego,
•
poinformowanie partnerów zewnętrznych o zmienionych wytycznych instytucji w
celu komunikacji cyfrowej .
Jako taka, digitalizacja skutkować będzie wymogiem zwiększenia wiedzy NOK na temat IT
w celu wdroŜenia oraz stosowania nowych narzędzi oraz metod. Podobnie, digitalizacja
będzie wymagać, aby wewnętrzna funkcja IT została umocniona, co umoŜliwi organizacji
przetwarzanie jedynie informacji cyfrowych – tj. serwery poczty elektronicznej, firewalle,
systemy bezpieczeństwa itd. będą odgrywać większą rolę niŜ kiedykolwiek przedtem.
6.3. Metody
Kontrola w środowisku cyfrowym nie moŜe być przeprowadzona w ten sam sposób, jak w
ś
rodowisku nieskomputeryzowanym. Jednym z przykładów na to, co mogą oznaczać te
57
zmiany jest sytuacja, kiedy publiczna spółka promowa przeszła z całkowicie ręcznego,
nieskomputeryzowanego systemu sprzedaŜy biletów na system elektroniczny, który w
mniejszym lub większym stopniu funkcjonuje bez interwencji człowieka. Podmiot publiczny
zainstalował nowy, elektroniczny system sprzedaŜy/ biletów/fakturowania/płatności, tak, Ŝe
sprzedaje bilety przez Internet, otrzymuje płatności poprzez system kart poprzez Internet,
rejestruje wejścia na pokład, przeprowadza operacje księgowe oraz automatycznie drukuje
faktury itd.
Rozwiązanie to spowoduje wymóg zmiany procedur kontroli oraz koncepcji, więc kontrole
odpowiednio ukaŜą nowe zagroŜenia. Do przykładów niezbędnych inicjatyw strategicznych
naleŜą:
•
opracowanie nowych metod oraz narzędzi przeprowadzania kontroli.
•
zbadanie jakie nowe technologie mogą być wykorzystane wewnętrznie w nowych
koncepcjach, np. statystycznych badaniach losowych oraz specjalnie opracowanych
aplikacjach (np. CAAT).
6.4 Kwalifikacje
Digitalizacja waŜnych funkcji w firmach oznacza, Ŝe tradycyjne procedury oraz wewnętrzne
mechanizmy oparte o formularze papierowe staną się przestarzałe i zostaną zastąpione przez
dane elektroniczne - za wyjątkiem elementów procedur dotyczących fizycznego przepływu
towarów.
Dla NOK oznacza to istotną zmianę w środowisku kontroli. Jednorazowe transakcje, które
poprzednio były dokumentowane za pomocą dowodów wpłaty/pokwitowań zostaną teraz
zastąpione informacjami cyfrowymi (danymi), którym towarzyszyć będzie elektroniczne
potwierdzenie transakcji. Kontrola ogólnych mechanizmów IT oraz systemów uŜytkownika
opartych o IT będzie w przyszłości stanowić większy element kontroli systemu i wymagać
więcej roboczogodzin oraz większej liczby personelu posiadającego zarówno umiejętności
związane z IT, jak i przeprowadzaniem kontroli.
Przykłady niezbędnych inicjatyw strategicznych obejmują:
•
szkolenie dotyczące sposobu kontroli środowiska cyfrowego, porównaj Rozdział V;
•
szkolenie w zakresie stosowania nowych narzędzi (IDEA, CAAT, itp.);
•
szkolenie ustawiczne jako rezultat technologii – z udziałem jednostki kontrolowanej
oraz wewnętrznie w organizacji – ciągły rozwój;
•
kursy dla całej organizacji skoncentrowane na postawach i zrozumieniu;
•
wzmocnienie wewnętrznego IT tak, aby organizacja oraz technologia mogły sobie
poradzić posiadając jedynie dane dostępne w formacie cyfrowym;
•
zmiany organizacyjne oraz restrukturyzację mające na celu realizację nowych
zadań.
58
6.5 Zasoby
Proces przejścia pociąga za sobą przede wszystkim potrzebę większych zasobów.
NaleŜy opracowywać nowe koncepcje, poniewaŜ naleŜy przyjąć, Ŝe kontrola klienta
indywidualnego spowoduje wykorzystanie większych zasobów w w pełni
zdigitalizowanym środowisku. Istnieją jednakŜe dwa warunki, które są sprzeczne z
tą tendencją. Po pierwsze, opracowanie nowych metod kontroli oraz narzędzi ma na
celu zwiększenie wydajności. Po drugie, w wielu krajach rozwój kieruje się ku
coraz większym centrom serwisowym IT.
Jedną z konsekwencji digitalizacji jest zanik wymogu dotyczącego bliskiej
fizycznej bliskości z danymi oraz informacjami. Oznacza to, Ŝe funkcje, które
poprzednio były szeroko rozproszone geograficznie, mogą być teraz zebrane razem,
na przykład płace oraz rekrutacja, które stanowią zadania kompleksowe oraz są
duŜym obciąŜeniem dla zasobów.
Z jednej strony, naleŜy przyjąć, Ŝe kontrola konkretnego podmiotu publicznego
spowoduje zuŜycie większych zasobów, podczas gdy z drugiej strony, istnieje
tendencja, Ŝe będzie mniej firm, w których będą przeprowadzane kontrole.
W kwestii zasobów wyłania się niepewny obraz. Prawdopodobnie większe wymogi
dotyczące zasobów będą istnieć tylko podczas okresu przejściowego. Jednym z
przykładów niezbędnej inicjatywy strategicznej jest:
•
zakrojona na szeroką skalę świadomość kadry kierowniczej odnośnie
wykorzystywania moŜliwości dotyczących poprawy wydajności wraz ze
zorganizowaniem nowych metod kontroli.
6.6 Uwagi ko
ń
cowe
W przypadku NOK digitalizacja sektora publicznego oznaczać będzie waŜne wewnętrzne
techniczne oraz organizacyjne dostosowania, wymagające inicjatyw strategicznych:
•
przejścia do procedur cyfrowych
•
opracowania nowych metod i narzędzi kontroli
•
rozwoju umiejętności IT kontrolerów
•
wykorzystanie potencjału wydajności poprzez ulepszoną organizację
nowych metod kontroli.
59
GLOSARIUSZ
Rozliczalność (obowiązek zdania sprawy) – w bezpieczeństwie informacji, zasada
indywidualnej identyfikacji oraz indywidualnej odpowiedzialności uŜytkowników systemu za
działania. MoŜliwość dokonania jednostkowej identyfikacji uŜytkowników umoŜliwia
ś
ledzenie przypadków naruszenia bezpieczeństwa oraz wykrycie jego sprawców. Celu tego
nie moŜna osiągnąć w przypadku wspólnych haseł.
Dokładność - właściwość zapewniona przez mechanizm systemu umiejscowiony
bezpośrednio przed aplikacją uŜytkownika w celu sprawdzenia poprawności otrzymanych
danych transakcji dotyczących np. numerów produktu, ilości, jakości, cen itd.
Autentyczność - w bezpieczeństwie informacji, właściwość, która określa, Ŝe autor
wiadomości, pliku itd. jest rzeczywiście tym, za kogo się podaje.
Dostępność – moŜliwość dostępu do i stosowania systemu, zasobu lub pliku w dowolnej
chwili i miejscu.
System back office (lub back end) – infrastruktura komputerowa w ramach organizacji,
która wspiera główne aplikacje procesu biznesowego, lecz nie posiada zewnętrznego
interfejsu z klientami (inaczej niŜ w przypadku witryny www lub portalu)
Jednostka certyfikująca – w kryptografii, jednostka posiadająca zaufanie wszystkich
uŜytkowników, tworząca oraz przypisująca certyfikaty cyfrowe. Rola ta jest pełniona zwykle
przez instytucje publiczne, takie jak Poczta lub banki clearingowe (np. Barclays)
Mechanizmy w systemie uŜytkownika - wewnętrzne wcześniej zaprogramowane
mechanizmy uzupełnione w stopniu koniecznym mechanizmami ręcznymi.
Kompletność – właściwość zapewniona przez mechanizmy systemu umiejscowione
bezpośrednio przed aplikacją uŜytkownika, w celu zapewnienia, Ŝe nie występują przerwy
podczas przekształcenia zewnętrznego formatu danych na wewnętrzny format danych lub, Ŝe
awaria systemu nie spowoduje utraty danych lub, Ŝe usterki powstałe z winy uŜytkownika
transakcji nie będą prowadzić do nieotrzymania całości transakcji.
Tajność – w bezpieczeństwie informacji, właściwość, zgodnie z którą informacja nie jest
udostępniana ani ujawniana osobom nieupowaŜnionym, podmiotom lub procesom.
Certyfikat cyfrowy – w kryptografii wiadomość, która gwarantuje autentyczność danych w
niej zawartych. W kryptografii klucza publicznego w celu zagwarantowania autentyczności
Jednostka Certyfikująca powinna wydać certyfikat, któremu ufają wszyscy uŜytkownicy.
60
Certyfikat zawiera zazwyczaj toŜsamość posiadacza klucza publicznego, sam klucz publiczny
oraz jego datę waŜności.
Dokumenty cyfrowe - dane podmiotu publicznego, które istnieją w formacie elektronicznym
lub cyfrowym, obejmujące nie tylko dokumenty, które zostały zdigitalizowane z nośników
papierowych (np. listów), lecz równieŜ takie, które istnieją i są uŜywane jedynie w formie
papierowej podczas całej ich „długości Ŝycia”.
Podpis elektroniczny - Deszyfrowanie i szyfrowanie pliku w celu uwierzytelnienia
określonego typu przekazu w usługach transakcji przeprowadzanych poprzez sieć, które
zwykle muszą posiadać formę pisemną, aby były prawnie wiąŜące; stosowany przez
administrację w celu bezpiecznej i legalnej komunikacji z obywatelami, firmami lub innymi
podmiotami publicznymi (urząd-obywatel; urząd-przedsiębiorca; urząd-urząd).
Domena – część hierarchii nazw internetu. Nazwa domeny dokładnie umiejscawia
organizację lub inny podmiot w Internecie, na przykład:
http://www.eurosai.org//
. Adres
strony http://www.eurosai-it.org stanowi subdomenę.
Elektroniczne podejmowanie decyzji – współdziałanie pomiędzy podmiotami sektora
publicznego oraz sposób, w jaki społeczeństwo się samo organizuje dla podejmowania
zbiorowych decyzji poprzez stosowanie elektronicznych przejrzystych mechanizmów.
e-administracja – stosowanie informacji oraz technologii komunikacyjnych przez organy
rządowe, czego celem jest: (a) dostarczanie większej ilości/lub lepszej informacji oraz innych
usług, zewnętrznie do obywateli i firm oraz wewnętrznie do innych organizacji rządowych;
(b) usprawnienie operacji administracji w kontekście większej skuteczności, oraz/lub
wydajności; (c ) zwiększenie udziału w Ŝyciu politycznym.
e-zarządzanie – oznacza rozwój, rozmieszczenie oraz realizację polityk, ustaw oraz
rozporządzeń koniecznych do wspierania funkcjonowania społeczeństwa cyfrowego oraz
gospodarki. Kwestie zarządzania pojawiają się we wszystkich poziomach e-administracji.
e-zamówienia publiczne - zastąpienie tradycyjnej dokumentacji handlowej na przykład
zamówień zakupu i faktur poprzez dane przekazywane elektronicznie.
System front office (lub front end) – infrastruktura komputerowa w organizacji opracowana
przede wszystkim jako interfejs słuŜący do komunikowania się z klientami zewnętrznymi,
takimi jak sieci internetowe lub portale.
Ogólne mechanizmy IT - w bezpieczeństwie informacji, mechanizmy wdraŜane w
ś
rodowisku IT po to, aby zewnętrzne parametry dotyczące niezawodności systemu, danych
oraz niezawodności operacyjnej osiągnęły dopuszczalny poziom, zgodnie z potrzebami
podmiotu publicznego. Mechanizmy te mają róŜny charakter i mogą być np. organizacyjne,
fizyczne, wstępnie zaprogramowane oraz ręczne.
Rzetelność – w bezpieczeństwie informacji właściwość, która oznacza, Ŝe dane otrzymane są
tymi samymi danymi, co dane wysłane.
61
Mechanizmy wewnętrzne - w bezpieczeństwie informacji, wstępnie zaprogramowane
mechanizmy w systemie uŜytkownika mające na celu zapewnienie całkowitego, dokładnego
oraz terminowego przetwarzania zatwierdzonych transakcji, takŜe mające na celu
zapobieganie występowaniu błędów lub rzeczywiste zapewnienie, Ŝe błędy zostaną wykryte i
naprawione.
Interoperacyjność - w systemach informacyjnych, właściwość pozwalająca dwóm sieciom
operatorów łączyć się ze sobą, aby usługi mogły ze sobą współdziałać w granicach
wzajemnego połączenia.
Demokracja online - prowadzenie działalności z udziałem obywateli w tworzeniu polityki
poprzez procesy odbywające się w systemie komputerowym, oraz zwłaszcza przez Internet.
Twórcy polityk mogą na przykład organizować sondaŜe lub referenda dotyczące konkretnych
spraw związanych z polityką, takich jak plany zagospodarowania przestrzennego,
proponowane ustawodawstwo itd. Wynik takich sondaŜy/referendów moŜe odgrywać rolę w
procesie podejmowania decyzji.
Kontrola wykonania zadań - kontrole wykonania zadań stanowią przeglądy przeznaczone
do określenia jak wydajnie i skutecznie agencja wykonuje swoje funkcje. Kontrole wykonania
zadań mogą stanowić przegląd programu rządowego, całej agencji rządowej lub jej części lub
pozwalają analizować konkretne kwestie, które wpływają na cały sektor publiczny.
Zamówienia publiczne - KaŜdy aspekt procesu określania zapotrzebowania na towary oraz
usługi, oraz kupowanie, dostarczanie oraz przechowywanie ich. Zamówienia publiczne
odgrywają rolę centralną w zarządzaniu dowolnymi operacjami i jest niezbędne, aby zdobyć
konieczne towary oraz usługi dobrej jakości, po dobrej cenie oraz w odpowiednim czasie.jest
kiedy kumulacja wymogów dotyczących zakupów umoŜliwia przeprowadzenie znacznych
usprawnień odnośnie zwiększenia wartości.
24
Certyfikat klucza publicznego – stwierdzenie, w miarę moŜliwości w formie papierowej,
lecz o wiele częściej przekazywane elektronicznie przez sieć, które ustanawia relacje
pomiędzy określoną jednostką (lub organizacją) a określonym kluczem publicznym. W
zasadzie, powinien on (lecz nie musi) zawierać inne informacje, takie jak adres pocztowy,
przynaleŜność do organizacji oraz numer telefonu.
Niezaprzeczalność - w bezpieczeństwie informacji właściwość, która oznacza, Ŝe nadawca/
odbiorca informacji nie moŜe zaprzeczyć faktu wysłania/otrzymania danych.
Re-engineering procesów biznesowych – innowacja oraz przekształcenie procesów
strukturalnych oraz procesów pracy w celu ulepszenia jakości usług oraz wydajności w
sektorze publicznym.
24
zdanie niepełne w oryginale
62
Niezawodność - w systemach informatycznych zdolność systemu komputerowego,
informatycznego lub telekomunikacyjnego do ciągłego działania zgodnego ze swoją
specyfikacją oraz wymogami projektu, charakteryzująca się duŜym zaufaniem.
Bezpieczeństwo – zbiór zabezpieczeń, które mają na celu zapewnienie, Ŝe poufność
informacji chroni system(y) lub sieć(sieci), które je przetwarzały oraz kontroluje dostęp do
nich. Stąd, zabezpieczenia tworzą odpowiednie zasady dostępu do informacji komputerowej.
Karta
inteligentna
–
elektroniczna
technologia
transakcyjna
pozwalająca
na
przechowywanie i aktualizację informacji dotyczących uwierzytelniania lub kont
uŜytkownika.
Kontrola materialna - proces zbierania oraz oceny dowodów w celu sformułowania opinii
na temat tego czy system kontroli wewnętrznej jest wiarygodny.
Kontrola systemowa – proces gromadzenia i oceny materiału dowodowego w celu
sformułowania opinii czy system informatyczny (aplikacja uŜytkownika) zabezpiecza aktywa,
utrzymuje rzetelność danych, pozwala na osiągnięcie celów organizacji i określa wydajne
wykorzystanie zasobów.
Kontrola techniczna – proces zbierania i oceny dowodów w celu sformułowania
opinii odnośnie tego czy (elementy) infrastruktury IT zabezpieczają aktywa, utrzymują
rzetelność danych, pozwalają na spełnienie celów organizacji oraz określenie wydajnego
stosowania zasobów. Infrastruktura IT oznacza tu sprzęt komputerowy, sieci, systemy
operacyjne oraz wszelkie inne oprogramowanie, które nie stanowi aplikacji uŜytkownika
(zarządzanie bazami danych, oprogramowanie bezpieczeństwa, systemy zarządzania centrum
danych, itd.)
Telematyka – zbiór technologii, które łączą w sobie telekomunikację i informatykę.
Terminowość – w bezpieczeństwie informacji, właściwość zapewniona przez mechanizm
systemu umiejscowiony bezpośrednio przed aplikacją uŜytkownika w celu zapewnienia, Ŝe w
czasie występowania operacyjnych cykli aktualizacji przetwarzanie danych pobranych
transakcji odbywa się w odpowiednim czasie.
System uŜytkownika – aplikacja systemowa, która obejmuje kilka systemowych, opartych o
IT oraz ręcznych funkcji administracyjnych w danym obszarze.
Sprawdzanie poprawności/ zatwierdzenie – w bezpieczeństwie informacji, właściwość
zapewniona przez mechanizm systemu zlokalizowany bezpośrednio przed aplikacją
uŜytkownika w celu zapewnienia, Ŝe procedura zatwierdzenia otrzymanych transakcji
zbiorowych jest gotowa do wdroŜenia i Ŝe zatwierdzenie jest przeprowadzane przez
odpowiednio upowaŜniony personel (np. sprawdzenie poprawności celem zapewnienia, Ŝe
tylko transakcje dotyczące podmiotu publicznego są przenoszone do aplikacji uŜytkownika).
NaraŜenie na ataki – słabość w systemie, która moŜe być wykorzystana w celu naruszenia
zamierzonego zachowania systemu. NaraŜenie na ataki moŜe dotyczyć bezpieczeństwa,
63
rzetelności, dostępności oraz innych właściwości. Przypadek wykorzystania takiej słabości
stanowi zagroŜenie, któremu towarzyszy ryzyko wykorzystania.